ریسک عدم انطباق (Compliance Risk)
مفهوم:
والد:
بعد:
فرزند:
احتمال وقوع زیان ناشی از نارساییهای داخلی یک بنگاه یا اخلال در کنترلها، عملیات یا رویه های آن، همواره بنگاهها را با انواع ریسکهای عملیاتی روبرو میسازد. در این میان، ریسک انطباق یکی از ریسکهایی است که مربوط به تأیید یا گواهی انجامدهنده یک کار یا سازنده یا تأمینکننده یک محصول است که الزامات اقدامات قابل قبول، قانونگذاری، قوانین و مقررات مصوب، استانداردهای معین یا شرایط قرارداد را تأمین میکند. علاوه بر این، ریسک انطباق به مفهوم مواجهشدن با جرائم حقوقی، توقیف داراییهای مالی و زیانهایی است که سازمان زمانی با آن مواجه میشود که برای انطباق با قوانین و مقررات صنعت، سیاستهای داخلی یا تجربیات موفق و مورد توافق دچار مشکل میشود. لذا، فرآیند مدیریتکردن انطباق شرکت برای تأمین الزامات مقرراتی در یک چارچوب زمانی قابل انجام و با توجه به بودجه مشخص، امری ضروری و مهم تلقی میگردد که معمولا برای این منظور از دو رویکرد سنتی و نوین استفاده میگردد.
ریسک انطباق یکی از انواع ریسک عملیاتی و به معنای ریسک عدم رعایت قوانین و مقررات مصوب و استانداردهای معین یا عمل به شرایط قرارداد و تحمل جرائم و زیانهای ناشی از آنها است. لذا، ریسک انطباق به معنای هرگونه تهدیدی است که وضعیت مالی، سازمانی یا شهرت یک سازمان را تحت تأثیر قرار میدهد. در این میان، مدیریت ریسک انطباق برای تأمین الزامات مقرراتی در یک چارچوب زمانی قابل انجام و با توجه به بودجه مشخص بسیار مهم و ضروری است.
ریسک انطباق در کنار ریسک قوانین، ریسک امنیت، ریسک فنآوری اطلاعات و ریسک کنترل عملیات از انواع ریسکهای عملیاتی تلقی میگردد که از لحاظ ویژگیها، شرایط و کارکرد با یکدیگر متفاوت میباشند. ریسک عدم رعایت قوانین و مقررات؛ احتمال زیان ناشی از شمول جریمههـا و مجـازاتهـای قانونی، تنبیهات نظارتی و آسیب به حسن شهرت به دلیل عدم رعایـت قـوانین و مقـررات و سایر الزامات ناظر بر فعالیتهای بانکی مؤسسه اعتباری است. برای شناسایی، مدیریت، پایش و کاهش ریسکهای انطباق در یک سازمان، لازم است تا از استراتژیهای معین بهرهمند شد. این استراتژیها شامل شناسایی حوزههای با ریسک بالا و اطمینان از امکان انجام اقدامات لازم برای هشدارهای مقرراتی و بهروزرسانیهای مربوطه خواهد بود.
مقدمه[ویرایش | ویرایش مبدأ]
بسیاری از مقررات حوزه انطباق بر سازمانها وضع میشوند تا اطمینان حاصل شود که سازمانها در فعالیتهای خود به طور منصفانه و اخلاقی عمل میکنند یا خیر. اکثر سازمانها دارای فرآیندهای انطباق بودهاند تا اطمینان حاصل کنند که به تمامی قوانین و قواعد مربوطه پایبند بودهاند و یا در غیر این صورت با عواقب حقوقی، مالی و غیره بالقوه مواجه خواهند شد. ریسک انطباق به معنای هرگونه تهدیدی است که وضعیت مالی، سازمانی یا شهرت یک سازمان را تحت تأثیر قرار میدهد. فرآیند انطباق اگر خوب تعریف شود میتواند ریسک کلی سازمان را در انحراف از این استانداردها کاهش دهد و با عواقب آن مواجه شود.
مدیریت انطباق و مدیریت ریسک با یکدیگر در ارتباط بودهاند اما دو موضوع یکسان نیستند. مدیریت ریسک به مفهوم پیشبینی و مدیریت انواع ریسکها میپردازد تا از این طریق به سازمان برای محافظت از خود در برابر ریسکهایی که ممکن است در نهایت منجر به عدم انطباق شوند، کمک کند. مدیریت ریسک در جایگاه خود فرآیندی برای مدیریت انطباق در درون مرزهای چارچوب زمان و بودجه در اختیار دارد. عدم سازگاری با مقررات انطباق نیز به نوعی همان ریسک به حساب میآید.
در واقع نمیتوان گفت که یک برنامه مدیریت ریسک قدرتمند وجود دارد در حالی که فاقد چارچوب انطباق است و بالعکس. اما برای نمایش و دستیابی به سطحی از انطباق و مدیریت ریسک، نیاز به داشتن رویکردهای متمایز و تاکتیک های اجرایی برای هردو آنها وجود دارد. عدم انطباق به عنوان ریسک شناخته میشود اما مدیریت ریسک انطباق محسوب نمیشود.
بنابراین، این دو عنوان را باید متفاوت از هم در نظر گرفت. استراتژی مدیریت ریسک صحیح میتواند مسائل مربوط به هر دو موضوع انطباق و مدیریت ریسک را مرتفع سازد.
تعریف[ویرایش | ویرایش مبدأ]
مدیریت ریسک انطباق به معنای فرآیند مدیریتکردن انطباق شرکت برای تأمین الزامات مقرراتی در یک چارچوب زمانی قابل انجام و با توجه به بودجه مشخص میباشد. هر شرکت قاعدهمند و مطیع مقررات هم لزوماً نمیتواند به طور خاص این نوع مدیریت را انجام دهد و برخی دیگر از شرکتها نیز جریمههای ناشی از عدم انطباق را به عنوان هزینه عادی انجام یک کسب و کار در نظر میگیرند. فلسفه وجود آنها این است که پرداخت مبلغ جریمهها بسیار ارزانتر از بکارگیری و نگهداری فرآیند انطباق برای شرکت میباشد.
این نوع فکرکردن صرفاً و لزوماً محدود به شرکتهای کوچکتر و با تشکیلات کمتر پیچیده نمیشود. حتی بسیاری از شرکتهای بزرگ نیز ممکن است از عواقب انجام فعالیتهای غیر منطبق و ناسازگار خود آگاه باشند اما اگر آن فعالیتها پول بسیار بیشتری نسبت به سازمان کسب کنند، آنها نیز به گونه دیگری به موضوع نگاه خواهند کرد. ولز فارگو[۱]، نمونه ای از این نوع نحوه فکرکردن است.
اما همانطور که ولز فارگو دریافت، این رویکرد بسیار پرریسک بوده است. رگولاتورها یا وضعکنندگان مقررات نظیر وکلای ایالات متحده به دو دلیل، بسیار خشنتر رفتار میکنند 1. کوتاهترشدن جدول زمانی رسیدگی به موضوع انطباق و 2. وضع جریمههای بیشتر. علاوه براین ، عدم انطباق میتواند بیش از حد تبدیل به یک موضوع عمومی شود که منجر به طرح دعوی در دادگاه، خروج و مهاجرت دسته جمعی سرمایهگذاران، و ازبین رفتن شهرت شرکتها گردد.
مدیریت ریسک انطباق؛ رویکرد سنتی[ویرایش | ویرایش مبدأ]
یک تیم انطباق نوعاً به ارزیابی برنامه موجود میپردازد به طوری که ارزشیابی فرآیند، تکنولوژی و تحلیل روشهای بهبود، نحوه مدیریت انطباق را در بر میگیرد. تیم انطباق همچنین کار مدیریت بودجه را برای سرمایهگذاری در هر نوع تکنولوژی جدید و موردنیاز برای دستیابی به اهداف مطلوب انجام میدهد و منابع لازم برای دستیابی به اهداف بزرگ و کوچک را تخصیص میدهد.
برای شناسایی، مدیریت، پایش و کاهش ریسکهای انطباق در یک سازمان، لازم است تا از استراتژیهای معین بهرهمند شد. این استراتژیها شامل شناسایی حوزههای با ریسک بالا و اطمینان از امکان انجام اقدامات لازم برای هشدارهای مقرراتی و بروزرسانیهای مربوطه بوده است و تمامی این اقدامات توسط تیم انطباق مدیریت میشوند.
مدیریت ریسک انطباق به معنای داشتن برنامه، رویه، و فنآوریهای قابل انجام جهت نظارت بر تلاشها جهت انطباق بیشتر صورت میگیرد. با درنظر گرفتن چهار مقوله فوق، میتوان نگاهی به مدیریت ریسک از نظر پیچیدگیهای موجود در سطح شرکت و سطوح انطباق داشت.
1.راهی تا مدیریت ریسک انطباق نمانده است: باید در صورت نیاز، مورد کسب و کار مشخصی را در حیطه ریسک بالای عدم انطباق در نظر گرفت و یک تیم انطباق تشکیل داد تا نیازها و الزامات انطباق را شناسایی کرده و ضمن ارزیابی برنامه انطباق موجود، بودجهریزی مرحلهای مبتنی بر اهداف و تخصیص منابع برای دستیابی به آن اهداف را نیز انجام داد.
2.فرسودگی فرآیند انطباق و فنآوری: باید انطباق و اهداف مربوطه و نیز سرمایهگذاری در فنآوری جدید را ارزیابی نمود. ممکن است تمایل به سرمایهگذاری در یک محصول خاص برای کل شرکت یا محصولات موردی برای تعداد کمی از اماکن عمومی که خوب هم طراحی شدهاند، در دستور کار قرار گیرد. طیف گزینههای موجود از چارچوبهای «حکمرانی-ریسک-انطباق (GRC)» انسجامیافته، گرفته تا محصولات موردی در حوزه انطباق مانند گزارشگری مالی برای SOX، ذخیره ابری انطباق یافته برای HIPPA، بررسی ایمیلهای صادره یا نرمافزارهای حسابرسی را در بر میگیرد.
3.وجود برنامه انطباق فعال اما میلیونها اسناد موجود برای بررسی: برخی از نهادهای رسیدگی در حوزه انطباق، سازمانها را ملزم میکنند تا میلیونها سند را فقط در طول چند هفته مورد بررسی و رسیدگی قرار دهند. از اکنون میتوان با یادگیری از طریق ماشین اکتشاف الکترونیک و گردش کار خودکار انطباق شروع کرد. این پلتفرمها ارزان قیمت نیستند اما در فرآیند بررسی و ارزیابی برای شرکتها پول و هزینه بسیار زیادی را صرفهجویی خواهند کرد و شرکتها نیز آنها را برای تمامی اکتشافات انطباقی و حقوقی اهرم خواهند کرد.
4.سرویسدهندگان اینترنتی ارزشمند بدون انجام انطباق فعال و پویا در معرض ریسک قرار میگیرند: تقطیع عدم انطباق بالقوه قبل از قرارگرفتن شرکت در یک مسیر انحرافی، مؤثرتر خواهد بود. پایش ارتباطات دیجیتالی، الگوهای مشکوک در ارسال پیامهای دیجیتالی نظیر الگوهای نگارش متون و ایمیل شاغلین، رسانههای اجتماعی یا گپ و گفتگوها را تحلیل میکنند.
هرگز فاصله زیادی در انطباق با مقررات وجود ندارد و مسیر انطباق آن قدر پیشرفته نیست که به هیچ عنوان نیاز به نگرانی در مورد آن وجود داشته باشد. لازم است که ارزیابیهای سالیانه برای فرآیندهای انطباق به موقع صورت گیرد و اطمینان حاصل شود که مقامات انطباق از تغییر مقررات باخبر بوده به نحوی که ممکن است این موضوع بر صنعت مذکور اثرگذار باشد. همچنین باید صنعت تکنولوژیهای انطباق را برای رصد تحولات، پیشرفتها و دستاوردها رهگیری نمود. کسب و کارها با چنان سرعتی در حال حرکت میباشد که روشهای قدیمی و واکنشی مدیریت ریسکهای انطباق ممکن است سازمانها را به سمت جاماندن از رقابت سوق دهد و یا این که آنها را در معرض ریسکهای مقرراتی یا ریسکهای شهرت بیشتر به مقداری بیش از آن چه که پیش از این انتظار میرفت، قرار دهد.
به همین دلیل است که سازمانها به دنبال یافتن روشهایی هستند تا ریسکهای انطباق را بهتر مدیریت کنند و از نظر هوشمندی ریسک در جایگاه مناسبتری قرار بگیرند که این امر نیز خودبخود به معنای کسب آگاهی بیشتر از ریسکهای روزمره میباشد. در واقع نیاز به یک مدل انطباق یکپارچه در سطح سازمان وجود دارد تا همواره ریسک انطباق را در حال بررسی نگه دارد و اطمینان دهد که سیاستهای اخلاقمدارانه در هر سطحی در یک سازمان به دنبال آن شکل خواهد گرفت.
این موضوع نیازمند یک رویکرد همه جانبه در جهت مدیریتکردن انطباق در یک سازمان میباشد. هدف آن است که راه حل منحصربفرد در سطح شرکت پیدا شود. در واقع، منافع حاصل از استراتژی انطباق یکپارچه شامل کاهش ریسک، زمان سریعتر برای بازاریابی، کاهش هزینهها، تجربیات مضاعف در حوزه مشتری و غیره میباشد.
شرکتهایی که در صنایع مشابه و با اندازه یکسان فعالیت میکنند احتمالاً با چالشهای مشابه در زمینه انطباق مواجه هستند. همتایان شرکت برای کاهش چنین ریسکهایی چه اقدامی صورت میدهند؟ رهبران کسب و کار نیاز به یافتن استراتژی مدیریت انطباق واحدی دارند تا از رویکردی مشابه با آنچه که همتایان شان از آن استفاده میکنند، پیروی نکند.
مدیریت ریسک انطباق؛ رویکرد نوین[ویرایش | ویرایش مبدأ]
مدیریت ریسک انطباق در این رویکر به شش روش انجام میگیرد.
1.باید استراتژی انطباق واحدی را پذیرفت و در پیش گرفت.
چنین استراتژی ممکن است روندهای صنعت در سطح کسب و کار، محصولات، خدمات و جغرافیای مختلف و در طی دورههای آتی را پیشبینی نماید. این امر به سازمان کمک خواهد کرد تا مزیت نسبی را از طریق برنامههای مدیریت انطباق با برنامهریزی مناسب به دست آورد.
2.تکنولوژی و ابزارها
ترکیب مناسبی از تکنولوژی و تجربیات موفق میتواند فرآیند انطباق را مؤثرتر کند. با وجود ابزارها و فنآوریهای امروزی، پیشگامی و قرار گرفتن در حرکتی به سمت جلو چندان کار دشواری به نظر نمیرسد. رویکرد مؤثر برای مدیریت ریسک انطباق آن است که از ابزارهایی استفاده شود که دادهها را از سیستمها فرا خوانده و سپس اعلام کند که به عنوان مثال چه عاملی در حال انحراف از سیاستهای مطلوب بوده است.
3.چارچوب مدیریت ریسک انطباق
روش مناسب برای بهبود نحوه مدیریت ریسک انطباق، ایجاد چارچوب و روششناسی برای ارزیابی ریسکهاست. این چارچوب باید به نوبه خود جامع و قابل سفارشیسازیشدن باشد.
چارچوب انطباق، ناظر بر مجموعه دستورالعملها و سیاستهایی است که نحوه انطباق سازمان با مقررات انطباق را مورد بحث قرار میدهد. این کار نوعاً از طریق تیمهای مدیریت ریسک و انطباق در یک شرکت توسعه داده میشوند.
میتوان چارچوب مدیریت ریسک انطباق را از ابتدا راهاندازی کرد و یا این که چارچوبهای موجود را ارتقاء داد. این امر به صلاحدید و نظر شرکت بستگی دارد. برخی از چارچوبهای انطباق از پیش ساخته شدهاند (جمله اصلی در متن انگلیسی ناتمام است)
4.افزایش تشریک مساعی
تشریک مساعی و ادغام از نظر کارکرد باید در میان تمامی اعضایی که در حوزههای مختلف انطباق فعالیت دارند از جمله مدیران ارشد و تیمهای مدیریت ریسک و انطباق افزایش یابد. همچنین باید گردش کار خودکار را نیز در اختیار داشت تا تعامل مناسب با فرآیند انطباق به طور کامل صورت گیرد: این گردش کار نوعاً از تیمهای مدیریت انطباق و توسعه بر میآید.
5.فرآیند مدیریت ریسک در سطح شرکت
ریسک و انطباق باید در قالب فرآیند مدیریت ریسک در سطح شرکت ادغام شوند. این کار اطمینان میدهد که هرگونه مسأله مرتبط با ریسک و انطباق که سازمان با آن مواجه میشود به طور مستقل در نظر گرفته نشود و تمامی فعالیتهایی که با مدیریت ریسک و انطباق در ارتباط است را در بر گیرد. همچنین باید چارچوبی فراهم کرد تا بتوان آن را برای ارزیابی در زمینه مواجهه با ریسک ارتقاء داد.
کارکنان از سطح مدیران ارشد گرفته تا متخصصان حوزه ریسک باید در این امر دخیل باشند. برای شروع نیز لازم است که ساختار ریسک شرکتی ایجاد نمود به نحوی که با ساختار سازمانی شرکت همخوانی داشته باشد.
6.آموزش
به منظور مدیریت بهتر ریسکهای انطباق، باید از فرآیند تعریفشده و مناسب همراه با سیاستها، رویهها و دستورالعملهای مستندشده برخوردار بود. رهبری شرکت باید با انتظارات و ارزشها ارتباط برقرار نماید. این نکته ضروریست که آموزش به افراد کمک میکند تا از آنچه که باید انطباق پیدا کنند مانند تمامی قوانین مربوطه، مقررات و سیاستهای شرکت، اطلاع و آگاهی پیدا کنند.
بررسیهای دورهای همچنین باید برای حصول اطمینان از وضعیتی انجام گیرد که افراد در آن وضعیت حداقل تا زمانی که فرهنگ انطباق به طور کامل مؤثر واقع گردد، از قواعد موجود پیروی کنند.
- ریسک عملیاتی
- ریسک قوانین
- ریسک امنیت
- ریسک فنآوری اطلاعات
- ریسک کنترل عملیات
- ↑ Wells Fargo
- https://commoncontrolshub.com/overview/unified-compliance-framework/
- https://techbeacon.com/security/heres-better-way-do-compliance-risk-management
- https://www.isaca.org/COBIT/Pages/COBIT-5-Framework-product-page.aspx