A kockázatmenedzsment Compliance-orientációja rendszerint csalfának bizonyul. A kockázatokat / a „rizikófaktort" sokkal inkább közönséges portfólióproblémaként kell kezelni.
Magyar nyelvű összefoglaló.
Bár a lehetőségek és a veszélyek gyakran a szervezeten kívül bújnak meg, a legtöbb kockázatmenedzser mégis a vállalaton belüli kihívások kezeléséről beszél, ha a munkájáról kérdezik. Legfőbb ideje tehát elhagyni a „járt utakat" és kilépni a megszokott gondolkodási sémákból, keretekből!
Egy multinacionális technológiai konszern aktuális tanulmánya jó példát szolgáltat erre.
Ennél a szervezetnél megvizsgálták és elemezték az integrált megközelítés ismert témáit, valamint a szervezet fennmaradása szempontjából legkritikusabb üzleti folyamatokat. Az integrált megközelítés első pillantásra kiváló eszköznek tűnik a „váratlan" elleni küzdelemben. Ha azonban közelebbről megnézzük a tipikus megoldásokat, azt látjuk, hogy világos prioritások és súlypontok kijelölése helyett a kockázatmenedzsmentnek egyértelműen túl kevés figyelmet szentelnek a vállalat egészében. Ahelyett, hogy a folyamatokat kritikusan végignéznék, csupán kipipálják azokat: „Igen, ezt is elintéztük!" felkiáltással. Ügyesen kitöltik a formanyomtatványokat, hogy aztán soha ne vegyék újra elő őket az asztalfiókból. Sok topvezetőnek sikerül grandiózus mutatványként a vállalati kockázatmenedzsment jelentőségét úgy alakítani, hogy az elvárásokra válaszul a vonalbeli vezetők részéről csak egy fáradt mosolyra futja.
A mindennapi üzletből kizárt kockázatmenedzsereknek nem marad más, minthogy „a mindent vivő fegyverhez", a „Compliance"-hez nyúljanak. De pontosan mi célból is, kérem szépen? A releváns törvények és rendeletek – vagyis a jogi keretek – összességének betartása mára a vállalatok többségénél a mindennapi rutin részévé vált, sőt: jellemzően saját funkcionális „GxP"-nyelvet (Good Practice) fejlesztettek ki rá. Sajnos a kockázatmenedzserek többsége azonban még mindig az „A" (=audit) betűre koncentrál az „E" (=együttműködés) helyett.
Néhány szervezetnek sikerült learatni a kockázatelemzésekből származó gyümölcsöket, szisztematikusan haladva vállalati területről vállalati területre. Ám a legtöbb vállalatban a kockázatmenedzsert helyettesítő kockázat auditorok egyre összetettebb és átfogóbb (dokumentációs, szabályozási) eszközökhöz nyúlnak, hogy a legapróbb kockázatot is dokumentálják. Ezek a „Compliance" irányelvekre aggatott eszközök azonban gyorsan az üzletet veszélyeztető, akadályozó folyamatokká („Business Prevention Processes") mutálódhatnak.
Két stratégiai jelentőségű téma, melyet a fanatikus „Compliance-tanítványok" gyakran elhanyagolnak:
Először is, ha a sokat idézett „Business Continuity"-ról beszélünk: a rendszerek és a folyamatok helyett a legtöbb cégnél a kollégák jelentik a szűk keresztmetszetet. Ennek megfelelően arra kell koncentrálni, hogy vajon elegendő tudás, képesség és erőforrás áll-e rendelkezésre – a megfelelő helyen. (Az egy másik kérdés, hogy vajon rendelkezik-e elegendő tapasztalattal a kockázatmenedzser ennek megválaszolására.)
Másodszor: Van-e lehetősége a szervezetnek a negatív vagy a pozitív piaci fejleményekre reagálni? Például a svájci frank meglepő árfolyamalakulása az elmúlt időszakban világosan megmutatta, hogy az operatív kockázatmenedzsment többnyire nem képes stresszhelyzetben helyesen megítélni a piaci stratégiák és az üzleti folyamatok alkalmazhatóságát.
De mit tehetünk a „rizikórobotok" ellen, akik csak kérdőíveket képesek feldolgozni? Szerintem hagyjuk, hogy a menedzsment a kockázatokat úgy kezelje, mint minden más portfólió problémát, és a pénzügyi erőforrásokat világos súlypontok szerint rendelje hozzá. (Pl: Mennyit áldozna Ön egy fölérendelt szempont szerint az adatbiztonságra, mennyit a szabályozási témára?) És ez az eljárás azt is kikényszeríti, hogy végiggondoljuk annak következményeit, ha végül nem maradna forrás a saját képességek vagy a munkavállalók fejlesztésére – illetve a saját stratégiánk értékelésére.