风险与政策管理之间有着深刻的联系。只有当企业有一套明确的既定目标,并确定了实现(或不实现)这些目标所涉及的威胁或风险时,政策及其相关的管理最佳实践才能取得成功。
一旦定义和理解了风险,组织实际上只有四种基本方法来应对风险:
- 避免--完全阻止风险发生,并制定计划确保风险永远不会发生
- 转移--将责任转给他人,如保险
- 减轻--制定行动,在风险发生时减少问题的严重性
- 接受- 积极决定不采取任何行动(也许减轻影响的成本大于影响的成本)
政策(和程序)是为降低风险或完全避免风险而制定的具体控制措施或计划。 这就是风险与政策管理之间关系的由来。归根结底,政策和程序负责定义组织的风险文化。 政策和程序为组织希望其员工遵守的道德规范、价值观和行动提供了框架。
不理解这种内在关系是很多公司失败的原因所在--无论是在管理风险、政策和程序方面,还是在建立真正的道德与合规文化方面,这种文化都会从上到下渗透到整个组织。
未能确定目标和风险
在这方面失败的组织往往是因为没有明确其目标或相关风险。 这就会产生连锁反应,产生所谓的 "临时政策 "或 "流氓政策"。 临时制定的政策,即没有与目标或已定义的风险保持一致的政策,往往会 阻碍组织的发展,使其面临风险。
如果不认真对待风险、政策和程序管理,就会出现这种问题,而这也是组织容易陷入的一个陷阱,往往没有意识到风险的增加。
这些 临时安排的 如果不加以控制,这些政策最终将不可避免地使业务变得过于复杂,并使组织面临更大的风险,因为这些政策的制定与组织目标没有明确的联系。 即使 临时安排的 可以针对特定风险制定政策,但 几乎无法衡量其有效性 不了解组织的目标是什么。 风险管理实践的主要目的之一是确定风险容忍度和组织应对风险的总体偏好。
拥有强大的风险和政策管理实践意味着这些容忍度得到确立,对控制和政策的期望得到理解。只有这样,才能准确衡量政策的有效性。衡量政策的有效性应涉及对整个政策管理流程的评估。 内部审计部门要进行适当的评估,就需要对所实施的流程有全面的了解。流程本身就是另一种形式的控制,在这种情况下,它是对控制管理的控制。
企业合规新准则
以最佳实践为基础的政策和程序生命周期管理与可靠的风险管理流程相辅相成。在采取措施衡量政策有效性时,作为控制评估的一部分,企业需要定期衡量员工对政策的理解程度。
建立这些衡量标准并实施相关机制,作为识别潜在差距或行为失误的关键指标,可为组织提供两方面的帮助:
- 它使组织进入积极主动的 状态。
- 它为组织的整体合规计划增加了可辩护性。
这就是为什么基于最佳实践的政策和程序管理在证明合规性和保持可辩护性方面如此重要的原因。这表明,风险得到了认真对待,现有的控制和政策都有明确的目的。在企业运营环境不断变化的情况下,这些措施和政策会得到积极的衡量和持续的评估。
司法部 最近更新了用于评估企业合规计划的有效性。我们不难发现,该指南的大部分内容都与风险和政策管理密切相关。
政策管理以满足一系列新规则的要求
监管机构在这些领域所寻求的细节的细化程度,可能已经得到了各行业专家的认可,但司法部显然是要把木桩插在地上,告诉你们 他们将使用的他们将使用的标准。现在,这种细化是常规而非例外,企业应预期这些问题 至少 在试图证明自己的合规计划是合理的时候。
说到风险管理和政策管理的成功,两者都需要持续的评估和管理,而且必须从整体上加以解决。这两者之间的关系以及管理这两者的流程调整,将对企业如何保持防御性并始终如一地履行合规义务起到至关重要的作用。
让技术帮您解决人工操作的复杂性,这样您就能真正专注于组织中的人员和合规计划的质量。
