Atitikties rizikos valdymo svarba

Atitikties rizika – tai organizacijos finansiniai arba materialiniai nuostoliai, atsirandantys dėl to, kad organizacija nesilaiko teisės aktuose nustatytų ar jos pačios patvirtintų taisyklių, vidaus politikos ar geriausios praktikos reikalavimų.

Visų tipų ir dydžių organizacijos gali susidurti su atitikties rizika, nesvarbu, ar jos yra viešieji, ar privatūs subjektai, siekiantys pelno ar ne. Organizacijos negebėjimas laikytis nustatytų reikalavimų, gali lemti jos reputacijos, verslo galimybių ir patikimumo praradimą.

Atitikties rizikos rūšys

Organizacija gali susidurti su šių rūšių atitikties rizika:

(1) Korumpuota ir neteisėta veikla. Teisės aktų laikymasis užtikrina, kad organizacija, jos atstovai ir darbuotojai laikytųsi teisės aktuose nustatytų taisyklių. Įprasta atitikties rizika susijusi su neteisėta praktika ir apima sukčiavimą, vagystę, kyšininkavimą, pinigų plovimą ir grobstymą.

(2) Privatumo pažeidimai. Dažna atitikties rizika yra privatumo reikalavimų pažeidimas. Įsilaužimai, virusai ir kenkėjiškos programos yra keletas kibernetinių pavojų, kurie turi neigiamos įtakos organizacijoms. Be to, jei organizacija tvarko neskelbtiną informaciją, ji privalo imtis atitinkamų priemonių tiems duomenims apsaugoti ir užkirsti kelią privatumo pažeidimams.

(3) Aplinkosaugos problemos. Ši atitikties rizika yra susijusi su tarša ir žala aplinkai, kurią gali sukelti organizacijos veikla. Pavyzdžiui, natūralių buveinių naikinimas, kenksmingų cheminių medžiagų naudojimas, pavojingų atliekų šalinimas ir požeminio vandens tarša. Daugelis įmonių tvarumą integruoja į savo verslo strategijas ir apmoko savo darbuotojus bei teikia išteklius, kad padėtų jiems laikytis aplinkosaugos reikalavimų.

(4) Proceso rizika. Proceso rizika – tai nustatytos užduoties atlikimo tvarkos nesilaikymas arba nukrypimas nuo standartinio proceso. Pavyzdžiui, organizacija turi turėti dokumentais pagrįstą nuotolinės prieigos prie tinklo procedūrą. Jei darbuotojas piktnaudžiauja tinkama nuotolinės prieigos procedūra, tai laikoma proceso rizika.

(5) Sveikata ir sauga darbo vietoje. Organizacijos teisiškai privalo laikytis specialių sveikatos ir saugos reikalavimų, kurių įgyvendinimą prižiūri organizacijoje deleguoti darbuotojai ir (arba) kompetentingų institucijų darbuotojai, atlikdami patikrinimus.

Kas yra atitikties rizikos valdymas?

Atitikties rizikos valdymas – tai galimų nuostolių, kurie gali atsirasti dėl to, kad organizacija nesilaiko įstatymų, reglamentų, standartų ir vidaus bei išorės politikos krypčių ir procedūrų, nustatymo, įvertinimo ir mažinimo procesas. Valdymo praktika yra skirta padėti organizacijoms laikytis įvairių reglamentų ir įstatymų.

Atitikties rizikos vertinimas

Pagrindinė atitikties rizikos valdymo koncepcija yra rizikos vertinimo procesas, apimantis galimų pavojų, keliančių grėsmę organizacijos gebėjimui užtikrinti, kad ji atitiktų įstatymus ir kitus teisės aktus, nustatymą ir įvertinimą. Rizikos vertinimas gali apimti informacijos šaltinių, pvz., verslo vadovybės ir reguliavimo institucijų ataskaitų, peržiūrą, taip pat duomenų ir informacijos, kuri jau yra organizacijai, identifikavimą. Atlikusi atitikties rizikos įvertinimą, organizacija gali nustatyti savo atitikties lygį, kad atskleistų, kokius pakeitimus reikia atlikti siekiant tobulinti. Šią informaciją organizacija naudoja kurdama ir įgyvendindama atitikties rizikos valdymo strategiją, kuri padeda užtikrinti, kad ji atitiktų įstatymus. Pavyzdžiui, įvertinimas gali atskleisti, kad organizacijai reikalingos saugesnės nuotolinio darbo procedūros. Organizacija gali planuoti pašalinti šį trūkumą įgyvendindama išsamesnę nuotolinio darbo politiką.

Apibendrinant, galima teigti, kad atitikties rizikos valdymas yra nenutrūkstamas procesas, apimantis reguliavimo aplinkos pokyčių stebėjimą, siekiant užtikrinti, kad organizacijos atitiktis būtų atnaujinta. Atitikties politika, procedūros ir mokymo medžiaga turi būti reguliariai peržiūrima, atsižvelgiant į naujas politikos kryptis, direktyvas ir reglamentus. Organizacijos turi žinoti savo atitikties riziką keliais lygmenimis, o ne tik vyriausiojo atitikties pareigūno (CCO) požiūriu. Nors CCO ir kiti atitikties darbuotojai yra atsakingi už visų organizacijos atitikties rizikos aspektų, įskaitant jos teisinę, reguliavimo, finansinę ir techninę riziką, peržiūrą, atitikties rizika apima visus organizacijos lygius, įskaitant informacines technologijas (IT). Štai kodėl organizacijos IT skyrius turi dalyvauti atitikties rizikos valdyme. Atitikties rizikos valdymas yra kolektyvinio valdymo, rizikos ir atitikties (GRC) disciplinos dalis. GRC yra valdymo praktikos ir technologijų rinkinys, skirtas užtikrinti, kad organizacija veiktų pagal jos vertybes, misiją ir toleranciją rizikai.