Jen málo firem umí skutečně efektivně řídit rizika. Hrozeb přitom stále přibývá, říká Michal Moroz

Stát ani firmy neumí podle Michala Moroze z Compliance Academy dostatečně pružně reagovat na nové hrozby. Ukázala to například i pandemie koronaviru. Jak ale správně nastavit firemní kulturu, etiku, compliance, řízení rizik a krizové řízení v období prudkých změn? Napoví konference CA Summit 2021.

Michale, o čem je vlastně obor compliance?

Všem se nám asi jako první vybaví rizika všech možných sankcí a dopadů, která vznikají nedodržením předpisů. A nejedná se jen o porušení požadavků plynoucích z české a evropské legislativy, ale také o konflikty s firemní kulturou, různými dobrovolně přijímanými kodexy a normami, ale konečně i s dobrými mravy. A zajištěním souladu podnikání s těmito pravidly se zabývá právě Compliance. Je to obor, který v posledních deseti letech nabírá velice na významu. Důvodem je nejen rostoucí množství všech možných zákonů a hrozba z nich plynoucích sankcí, ale i daleko větší požadavky na integritu a etické chování ze strany všech možných stakeholderů, zejména zahraničních mateřských firem a významných zákazníků. Compliance je jakýmsi kompasem, které firmám ukazuje, jak se chovat, aby jejich dlouhodobou prosperitu neohrožovaly fuck-upy jednotlivců nebo systémová selhání.

Za týden pořádáte výroční konferenci CA Summit 2021. Proč jste si pro letošek vybrali podtitul „Odolnost a integrita organizace“?

Stále významnějším tématem v současném businessu je udržitelnost podnikání. A to zdaleka nejen z hlediska ekologického, ale především z hlediska odolnosti organizace proti všem možným vnějším i vnitřním vlivům, otřesům i cíleným útokům. V dnešním globalizovaném a technologicky propojeném světě nemohou fungovat firmy izolovaně, ale ovlivňuje je řada faktorů, nad nimiž mají samy často jen omezenou kontrolu. Jsou totiž závislé nejen na legislativním prostředí, v němž podnikají, a na regulátorech, kteří na něj dohlíží, ale také na chování třetích stran, které významně ovlivňuje jejich podnikání, ať už jde o jeho zaměstnance, dodavatele, zákazníky, různé vlivové skupiny, média nebo konkurenci.

Jak si to v praxi můžeme představit? Proti jakému typu chování se mají společnosti lépe bránit?

Můžu uvést několik případů. U zaměstnanců je to především o schopnosti odhalit včas korupční jednání, které může přivodit trestní stíhání právnické osoby, jejímž jménem a v jejíž prospěch dotyčný jedná. Nebo o chování mající charakter interní kriminality, ať už se jedná o podvody, zneužití a krádeže důvěrných informací. Taková krádež duševního vlastnictví a její prodej konkurenci může firmu stojící na unikátním know-how v podstatě zlikvidovat. V případě dodavatelů je zase nutné ohlídat si rizika tam, kde je třetí strana důležitou součástí tzv. dodavatelského řetězce a je kritická pro fungování zákazníka. Tam je třeba ohlídat nejen spolehlivost a důvěryhodnost partnera, ale především průběžně sledovat, že splňuje stejné nároky na bezpečnost a kybernetickou bezpečnost, jaké na sebe klade zákazník sám. Mohl bych vám vyjmenovat několik známých případů, kdy kybernetický útok vedený proti dodavateli úplně paralyzoval celou výrobu. A takových hrozeb existují desítky. Přitom jen málo firem umí nastavit kontrolní procesy tak, aby tyhle rizika správně identifikovaly a skutečně uřídily.

Výroční konference CA Summit

Výroční konference proběhne 20. září v nově vybudovaném kongresovém centru Cubex v Praze. Registrace na konferenci se slevou 500 korun pro čtenáře INFO.CZ je možná na odkazu zde. Pro uplatnění slevy stačí při registraci uvést slevový kód „INFO“

V rámci konference se zaměříte také na krizové řízení. Proč?

Krizové řízení je velkým tématem posledních dvou let. Impulsem k tomu byl logicky covid-19 a z něj plynoucí mimořádná vládní opaření a epidemiologická omezení, které některé obory podnikání doslova paralyzovaly, jiné minimálně významně ovlivnily. Nicméně ačkoli koronavirus odhalil řadu slabých míst v krizové připravenosti a schopnosti krizového řízení na státní i korporátní úrovni, tématem konference sám o sobě nebude. Je totiž často opakovanou chybou připravovat se na války minulé. Nemůžeme se po povodních připravovat na povodně a po koronaviru na pandemie. Musíme být připraveni na jakoukoli hrozbu, která v budoucnu přijde. A těch, které nás dosud nezasáhly, je celkem dost. A otázkou není, zda se tak stane, ale kdy. Ať už jsou to rozsáhlé kybernetické útoky, masivní výpadky elektřiny, přerušení dodávek základních surovin, politickou destabilizaci a řadu dalších. Ostatně tornádo na jižní Moravě ukázalo, že musíme být připraveni na všechno.

Vy už jste zmínil covid-19. Jaké další problémy podle vás nasvítil?

Především že stát ani firmy nejsou vybavené schopností dostatečně pružně a adekvátně reagovat na nové hrozby. I přes enormní osobní nasazení mnoha organizací i jednotlivců odhalila krize až příliš nedostatků Zaprvé, že základní mechanismy krizového řízení prostě nezafungovaly. Na úrovni státu především proto, že chybělo jasné velení a odpovědnost, která jde ruku v ruce s mimořádnými právy. Zadruhé skutečnost, že krizová legislativa byla před lety psaná především jako reakce na povodně. Úplně v ní proto chybí například úprava postavení kritických zaměstnanců nebo dodavatelů. A zatřetí že selhalo i plánování. Myslím, že symbolické pro pandemii byly nejen prázdné sklady státních hmotných rezerv, ale především fakt, že jsme po celou dobu pandemie neslyšeli z úst odpovědných osob ani jednou sousloví „pandemický plán“. Nutno však dodat, že řada soukromých firem na tom byla podobně. Dobře připravené byly v zásadě jen některé subjekty kritické infrastruktury a globální korporace, které mají Business Continuity Management ve své DNA a tvrdě vyžadují jeho aplikaci.

Ještě se vraťme ke konferenci CA Summit 2021. Jak bude koncipovaná? Zazní i zkušenosti nejvyššího vedení firem?

Konference bude plná odborných debat zkušených expertů. Ale podle nás je důležité, aby na její úvod zazněl jasný postoj od těch, kteří jsou za řízení největších tuzemských firem odpovědní. Zajímá nás, jak se během jejich profesního života proměnilo vnímání agend, které budou tématy konference, a jak jejich význam vnímají dnes. Ať už je to řízení rizik, kontinuity činností, rizik spojených s třetími stranami, rizik v dodavatelském řetězci, zajištění compliance nebo personální, technologické a kybernetické bezpečnosti. Ostatně všechno začíná u tónu shora. Pokud šéf nebo vedení firmy jako celek neřekne jasně a nahlas, že posilování odolnosti a integrity organizace je důležité a proč, těžko může někdo očekávat, že tato témata vezmou vážně jejich lidé. Lidé sedící v čele firem mají navíc „na triku“ osobní odpovědnost za případná selhání. Proto se musí umět s těmito výzvami vypořádat.

Kdo další na konferenci vystoupí?

Celá konference je pojata jako řada moderovaných panelových diskusí, v nichž ke každému tématu vystoupí 4-6 řečníků. Složení panelů bude velice pestré, vystoupí v nich jak řada předních odborníků ze soukromého sektoru, tak významní reprezentanti celé řady klíčových státních institucí, jako jsou Ministerstvo průmyslu a obchodu, Policejní prezidium, státní zastupitelství, generální ředitelství Hasičského záchranného sboru, Národní úřad pro kybernetickou bezpečnost či Úřad pro ochranu hospodářské soutěže. Osobně se nejvíc těším na panel Nové hrozby, ale myslím, že velmi zajímavá diskuse bude i na další témata, namátkou k trestní odpovědnosti právnických osob, k významu a smyslu regulací nebo k řízení rizik v dodavatelských řetězcích.

Konferenci pořádají společně Compliance Academy a Asociace kritické infrastruktury ČR. Proč zrovna toto spojení?

Dává nám to velkou logiku. Rizika, která v dnešní dynamické době podnikatelům hrozí, jsou různého charakteru. A spolupráce Compliance Academy s AKI ČR nám umožnila pokrýt hned dvě významné oblasti řízení rizik.

sinfin.digital