全面了解风险与合规性
如今,企业需要从整体上看待风险与合规问题;让个别部门或团队单独负责管理风险与合规已不再足够。
过去,风险主要由向首席风险官(CRO)报告的合规团队管理。这种结构仍然适用,而首席风险官的作用已从向首席财务官(CFO)报告发展到在高管会议上占有一席之地。
然而,在当今快节奏和技术先进的商业世界中,管理风险和合规性需要行政人员的支持、组织各层级对风险管理的理解以及相关技术的支持。做不到这一点的公司就很有可能无法满足监管和合规要求。风险管理不善的破坏性影响不仅体现在财务上,还体现在声誉上,在某些情况下,这可能会带来更大的惩罚,也更难挽回损失。
让我们分别看看这三个因素,以了解如何在组织中全面管理风险和合规性。
高管对风险的认同:
无论是安全方面的变化,还是任何类型的合规监管,企业都不喜欢在工作流程中实施新的控制和步骤,除非是迫不得已--或者至少是在行政领导层将合规和风险确定为优先事项和目标之前。风险与合规管理是一个重要的业务风险因素,其重要性需要提升到首席执行官、董事会以及组织内其他高层管理者的层面。
如果您没有获得实施和维护风险与合规性所需的资源或结构,请告知行政领导的紧迫性,以及将工具、人员或流程落实到位所需的条件,并告知不合规的影响。一个好的、以业务为导向的风险缓解论证将大大有助于赢得必要的资源。毕竟,高管团队最有可能面临被发现不合规的后果。
具体来说,留出时间向高管人员介绍以下内容:
- 为什么风险与合规管理如此重要,以及它如何影响您的企业和员工
- 内部流程需要如何改变,改变的影响有多大?
- 市场影响是什么?客户和/或合作伙伴会如何看待你在风险与合规方面的努力和勤勉?
- 如何就适当的风险和合规措施对整个组织进行培训?
- 如何跟踪整个组织的准备和培训水平?
组织各级的风险管理:
近来,"管理风险是每个人的事 "这句话已成为一种常被引用的标准风险管理方式。令人感到不安的是,许多组织只是口头上说说而已,让组织中的人自己去寻找管理风险的方法,这成为一种效率极低、可能不安全的管理风险和合规性的方法。
一旦得到行政部门的认可,下一步就应该授权并使组织中的每个人(无论是员工、承包商还是访客)都能使用工具来管理风险并遵守相关规则和安全法规。在这一点上,培训员工如何识别和上报风险成为首要考虑因素。
想一想人们如何遵守适当的风险和合规流程,而不会不知所措或偏离日常工作。还应教育员工,在合规性和风险方面,安全总比遗憾好,员工应有权指出风险而不必担心报复。简单地说,在这一点上,风险管理不再是一项职能,而应成为公司的一种文化。
技术:
风险可能横跨业务环境中的多个领域,一个风险因素可能涉及多个跨组织接触点。信息安全、供应商管理、合规性、业务连续性、实体安全和人力资源等截然不同的业务部门都是整体风险与合规性战略的重要组成部分。
然而,企业内部这些独立的领域在传统上可能会导致以孤岛为基础的低效风险管理方法,特别是在围绕流程和控制的测量、管理和监控的人工工作方面。由于所需的信息往往非常分散,个人可能会在日常数据收集活动上花费大量时间,通常是从电子表格、共享驱动器和其他不同系统中汇编信息。
在合规管理或政策管理方面使用基于技术的解决方案,有助于以更高效、更有效的方式在组织内部的各个筒仓之间整合行业最佳实践风险和合规流程,从而实现更高的投资回报。
[bctt tweet="传统上,组织内的独立领域会导致基于孤岛的低效风险管理方法。]
使用技术解决方案的好处包括
- 大幅降低实施成本和 IT 支出。
- 消除多余或重复的活动。
- 提高信息质量,从而加强向管理层和监管机构的报告。
摘要
我们看到,如果我们从全局出发,了解处理风险和合规的关键方法,风险和合规管理是很容易管理的。具体来说,就是结合使用行政支持、授权和扶持组织中的每个人管理风险和合规,以及使用正确的技术。 正确的技术企业可以在很大程度上降低风险。
最后,但并非最不重要的一点是,组织和执行团队应将这些领域的投资视为强制性的,并分配足够的资源和预算。在这一领域,不合规的风险太大,不能掉以轻心,如果不加以足够谨慎的管理,可能会造成不可挽回的损失。
