Vytváření reportů o organizačních rizicích pro vrcholové vedení, které je třeba zvážit, je jednou z nejdůležitějších povinností, které mají vedoucí pracovníci compliance. Efektivní podávání zpráv o rizicích je základem silného programu compliance – a upřímně řečeno, i kariérní jistoty vedoucího pracovníka pro compliance. Je to něco, čemu musí každý odborník na compliance rozumět a co musí dělat dobře.
Proto dnes udělejme krok zpět a zopakujme si základy: Co je to hlášení o rizicích a jak vytvořit efektivní hlášení o rizicích?
Co je to hlášení o rizicích?“
Hlášení o rizicích zprostředkovává informace o aktuálně nejpalčivějších rizicích společnosti. Obvykle se zabývá kritickými riziky, jejichž důsledky pro firmu mohou být hrozivé; a také nově vznikajícími riziky, která by mohla v budoucnu způsobit větší potíže, pokud nebudou pečlivě sledována.
Zpráva o rizicích by navíc měla pojednávat o tom, jak dobře firma v daném okamžiku tato rizika řídí nebo neřídí. Zpráva tedy může obsahovat i materiál o tom, které zásady jsou nedostatečné, které kontrolní mechanismy nefungují tak dobře, jak se očekávalo, nebo jaké další kroky by mohly být nutné, aby se rizika udržela v toleranci společnosti.
Proč je důležité podávat zprávy o rizicích
Především je důležité, že zásady jsou nedostatečné, protože úkolem představenstva je sledovat účinnost systémů řízení rizik – a to představenstvo (konkrétně výbor pro audit) nemůže dělat dobře, aniž by rozumělo tomu, jaká jsou vlastně rizika společnosti. Výbory pro audit, které k dohledu nad řízením rizik přistupují laxně, porušují své fiduciární povinnosti vyplývající ze zákona a mohou čelit žalobám u soudu. Není tedy překvapením, že výbory pro audit rády vidí kompetentní a efektivní vykazování rizik.
Vykazování rizik je důležité také proto, že pomáhá představenstvu poskytovat strategické rady. Zpráva o rizicích může například varovat před vysokým rizikem korupce, pokud by společnost expandovala na rozvíjející se trhy. Tato zpráva může představenstvo přimět k tomu, aby znovu zvážilo, zda je expanze rozumná, nebo alternativní cenové strategie či nějaký jiný krok. Bez ohledu na to je zpráva o rizicích výchozím materiálem, který představenstvo použije při zvažování těchto rozhodnutí.
Manažerský tým se mezitím bude spoléhat na zprávy o rizicích, aby pochopil, jak by mohl potřebovat změnit činnosti, aby podnikal s větším ohledem na rizika. Řekněme, že se představenstvo skutečně rozhodne, že expanze na rozvíjející se trhy je nezbytná. Pak je na vedení, aby rozhodlo, jak tohoto cíle dosáhnout. Důkladná zpráva o rizicích pomůže vrcholovému vedení pochopit, jak by mohlo být nutné aktualizovat zásady týkající se výdajů na dárky a zábavu nebo motivačních odměn za splnění prodejních kvót či systémů náležité péče pro průzkum zahraničních zákazníků.
Efektivní vykazování rizik je důležité také pro regulační orgány. Pokud někdy navštíví vaši společnost, aby prověřili její chování nebo program shody s předpisy, a zjistí slabou schopnost hlásit a diskutovat o rizicích, nepovede to k ničemu dobrému. Vezměte v úvahu tuto pasáž z amerického zákona č. Ministerstva spravedlnosti USA o hodnocení programů compliance:
Výchozím bodem pro hodnocení státního zástupce, zda má společnost dobře navržený program compliance, je pochopení činnosti společnosti z obchodního hlediska, jak společnost identifikovala, posoudila a definovala svůj rizikový profil…
Společnost nemůže identifikovat, posoudit a definovat svůj rizikový profil, pokud vedoucí pracovníci nemluví o tom, jaká tato rizika jsou – a zpráva o rizicích je pro tuto diskusi zásadní.
Co by měla zpráva o rizicích obsahovat
Jak jsme zmínili výše, zpráva o rizicích by se měla zabývat nejkritičtějšími riziky a také nově vznikajícími riziky.
Odpovědní pracovníci za dodržování předpisů budou mít přirozeně tendenci zaměřovat se na kritická nebo nově vznikající rizika dodržování předpisů, a to je naprosto správný začátek. Vaše zpráva se může například zabývat pravidly ochrany osobních údajů, pokud expandujete na nové trhy, nebo pravidly pro zadávání veřejných zakázek, pokud se začínáte ucházet o státní zakázky. Pracovníci odpovědní za dodržování předpisů si vždy budou dělat starosti také s prosazováním protikorupčních pravidel.
Uvažujte zde expanzivně. Zvažte, jak by změny v běžných činnostech vaší společnosti mohly změnit povahu dlouhodobých rizik, která vaše společnost vždy měla. Jedním z nově vznikajících a kritických rizik může být například přechod na práci zaměstnanců z domova – což může radikálně změnit vaše rizika podvodů, kybernetické bezpečnosti a obtěžování, aniž by se změnily skutečné zákony a předpisy, které tyto záležitosti upravují. Někdy posun v činnosti způsobí, že stávající zásady a kontrolní mechanismy budou pro daná rizika nedostatečné, a to je třeba zahrnout do zprávy o rizicích.
Příklad s prací z domova upozorňuje na další důležitou věc:
Například k přesunu práce z domova dochází kvůli krizi COVID-19.
Jaké jsou vnější podmínky, které zpochybňují předpoklady vašeho programu řízení rizik? Podobně může nová obchodní politika po celém světě vyvolat rizika sankcí; fúze může vyvolat antimonopolní rizika. Čím šířeji definujete možná nově vznikající nebo kritická rizika, tím lépe budete schopni určit skutečná nově vznikající nebo kritická rizika, která by se měla dostat do vaší zprávy.
Co by měla zpráva o rizicích řešit
Každé riziko ve zprávě by mělo obsahovat diskusi o jeho potenciálním dopadu. To je to, co chtějí pochopit vrcholoví manažeři a členové představenstva, kteří rozhodují o tom, jak by mělo být riziko řešeno.
„Dopad“ můžeme definovat v několika směrech:
- Finanční: peněžité pokuty v rámci regulačních donucovacích opatření; související náklady na pracovní sílu nebo vybavení pro toto šetření (externí poradce, nové technologie atd.); ušlé příjmy nebo zisky
- Provozní: zda riziko může vést k zásobám, které nelze prodat, továrnám, které nelze používat, obchodním procesům, které nemusí fungovat, když je to nutné, a tak dále
- Strategické:
- Strategické: zda by riziko mohlo zmařit určité dlouhodobé možnosti, například ponechat společnosti příliš málo hotovosti na získání cílů fúzí nebo vývoj nových produktů
- Reputační: zda by riziko mohlo poškodit pověst společnosti u zákazníků, spotřebitelů nebo obchodních partnerů
Ne u každého rizika je třeba plně diskutovat o všech výše uvedených bodech, ale pracovníci compliance by měli alespoň zvážit tyto proměnné a určit, které z nich jsou pro diskutované riziko nejrelevantnější.
Zpráva by měla zkoumat, jak se program compliance snaží řešit dané riziko. Například uveďte, zda stávající zásady a kontrolní mechanismy společnosti přinášejí požadované výsledky; nebo jaké nedostatky existují v kontrolních mechanismech určených k řízení daného rizika. Diskuze by měla také zahrnovat časový plán opatření k vyřešení případných nedostatků v kontrolách, které máte, určit vlastníka rizika a požádat o případné pokyny představenstvo nebo vedení společnosti, pokud je to nutné.
Jak vytvořit efektivní zprávu o rizicích?“
Předpokládejme, že vaše zpráva identifikovala všechna rizika, která by skutečně měla být zahrnuta. V tu chvíli reálně hrozí, že zpráva předloží příliš mnoho informací, a to takovým způsobem, že čtenář bude zahlcen nebo zmaten, co má dělat. Efektivní zpráva o rizicích je kromě obsahu také o zaměření a struktuře.
Například zpráva o rizicích by měla být snadno čitelná a stravitelná. To znamená shrnutí rizik a důvodů, proč jsou do zprávy zahrnuta, po kterém následuje podrobná diskuse o každém riziku a vašich podpůrných údajích. Délka shrnutí může být různá, ale zpravidla platí, že každé shrnutí, které přesahuje 10 stran, se blíží přílišné délce.
Po tomto shrnutí se můžete ponořit do podrobností – které mohou být obsáhlé. Zde můžete zahrnout podpůrná data (čím více budete používat grafy nebo grafiku z nástrojů pro vizualizaci dat, tím lépe), auditní zprávy, historie případů, projekce nákladů atd. V elektronické podobě můžete zprávu o rizicích dokonce strukturovat pomocí odkazů, které čtenáři umožní přeskakovat od shrnutí k hlubší diskusi.
Efektivní zpráva také jasně váže každé riziko na stanovený obchodní cíl. Koneckonců většina lidí, kteří budou zprávu o rizicích číst, bude pocházet z podnikových provozních nebo řídicích funkcí, bez většího zázemí v oblasti dodržování předpisů nebo řízení rizik. Propojení rizika s obchodním cílem čtenáři řekne, proč je riziko důležité a stojí za jeho pozornost.
V neposlední řadě účinná zpráva mapuje plán opatření nebo klade otázky, na které musí představenstvo nebo vrcholový management odpovědět. Účinná zpráva zapojuje čtenáře buď tím, že ho ujišťuje, že existuje plán, jak dostat riziko pod kontrolu, nebo tím, že ho žádá o návod, co má dělat dál. Zpráva o rizicích zachycuje současný stav problémů společnosti v oblasti řízení rizik a naznačuje možné cesty vpřed.
Co zpráva o rizicích není, je cvičení samo pro sebe. Není to zaškrtávací cvičení, které má ukázat, že funkce compliance splnila svou práci. Je to nástroj, který pomáhá vedoucím pracovníkům vykonávat jejich práci při řízení společnosti – a čím odborněji budete s tímto nástrojem zacházet, tím úspěšnější bude váš program compliance.