Raport NAVEX 2025 dotyczący stanu ryzyka i zgodności z przepisami

Wersja raportu NAVEX z 2025 r. zawiera oparte na danych informacje na temat aktualnego stanu ryzyka i zgodności z przepisami.

Dojrzałość programu

57% respondentów oceniło swoje programy jako zarządzające lub optymalizujące.

49% stwierdziło, że zgodnością z przepisami kieruje niezależna jednostka.

56% zgłosiło co najmniej jeden problem związany z zgodnością z przepisami w ciągu ostatnich trzech lat.

Ryzyko związane z podmiotami zewnętrznymi i łańcuchem dostaw

Tylko 58% organizacji sprawdza podmioty zewnętrzne pod kątem zgodności z przepisami, a 54% pod kątem cyberbezpieczeństwa i ochrony danych.

84% zgodziło się, że ich program due diligence podmiotów zewnętrznych zmniejsza ryzyko prawne, finansowe i reputacyjne.

Zarządzanie sztuczną inteligencją i ryzyko

65% zespołów ds. zgodności z przepisami jest zaangażowanych w podejmowanie decyzji związanych ze sztuczną inteligencją.

Najczęściej za opracowywanie polityki w zakresie sztucznej inteligencji odpowiadają działy IT (39%), a następnie działy bezpieczeństwa informacji (10%).

Foto:  https://pl.freepik.com/

Najczęstsze obawy związane z AI:

1️⃣ Niewłaściwe wykorzystanie własności intelektualnej innych osób (37%)

2️⃣ Nieprawidłowe wyniki AI (27%)

3️⃣ Utrata danych (23%)

4️⃣ Stronniczość algorytmów (10%)

Zarządzanie ryzykiem i ocena ryzyka

30% organizacji posiada scentralizowany, zintegrowany program zarządzania ryzykiem, podczas gdy 44% nadal pracuje nad integracją.

93% respondentów stwierdziło, że dział zgodności zajmuje się oceną ryzyka i zarządzaniem nim, ale tylko 61% wykorzystuje wyniki oceny do ulepszania swoich programów.

70% respondentów stwierdziło, że oceny ryzyka są „aktualne i podlegają okresowym przeglądom” — bez zmian w stosunku do 2024 r., pomimo globalnych zmian geopolitycznych.

Tylko 24% oceniło swój proces oceny ryzyka jako „skuteczny”.

Przywództwo i etyka

73% stwierdziło, że kadra kierownicza wyższego szczebla promuje etykę i zgodność z przepisami, a 60% stwierdziło, że daje przykład właściwego postępowania.

64% zarządów otrzymuje okresowe raporty dotyczące zgodności z przepisami, a 52% sprawuje formalny nadzór nad programami zgodności.

Szkolenia i technologia

76% organizacji posiada formalny plan szkoleń dotyczących ryzyka i zgodności z przepisami.

Najważniejsze tematy szkoleń na najbliższe dwa lata: etyka, prywatność, cyberbezpieczeństwo i sztuczna inteligencja.

Jest to bardzo złożony raport, pełen cennych szczegółów i rzetelnych danych, ale niektóre wnioski wywarły na mnie duże wrażenie. 3/5 respondentów ocenia swoje programy jako najbardziej dojrzałe, jednak głębsza analiza wyników po prostu nie potwierdza tej tezy. Jest to doskonały przykład sytuacji, w której pewność co do zgodności przewyższa rzeczywiste możliwości.

Na przykład:

28% respondentów doświadczyło naruszenia prywatności (#privacy) lub cyberbezpieczeństwa (#cyber), a 18% doświadczyło naruszenia zasad etycznych przez stronę trzecią, jednak 40% respondentów nawet nie sprawdza swoich dostawców. Pokazuje to, że ryzyko związane ze stronami trzecimi (#thirdparty) i łańcuchem dostaw (#supplychain), zwłaszcza w zakresie cyberbezpieczeństwa, prywatności i produkcji, jest nadal niedoceniane. Nie chodzi o to, żeby „to robić” — chodzi o to, żeby robić to poprawnie.

Sztuczna inteligencja to kolejny obszar, w którym raport ujawnia lukę. Najważniejsze hasztagi #AIrisks (ryzyko związane ze sztuczną inteligencją) pokazują, że zespoły ds. zgodności nadal nie mają technicznej wiedzy na temat tego, jak faktycznie działa sztuczna inteligencja.

Kolejną poważną słabością jest integracja hasztagu #riskmanagement (zarządzanie ryzykiem). Zarządzanie ryzykiem nie jest rejestrem — to codzienny proces podejmowania decyzji w oparciu o najlepsze dostępne dane.

Link

Autor: Sebastian Burgemejster