Organisaation riskejä koskevien raporttien laatiminen ylimmän johdon harkittavaksi on yksi tärkeimmistä compliance-vastaavien tehtävistä. Tehokas riskiraportointi on olennainen osa vahvaa compliance-ohjelmaa – ja suoraan sanottuna myös compliance-johtajan uran turvaamista. Se on asia, joka jokaisen compliance-ammattilaisen on ymmärrettävä ja tehtävä hyvin.
Katsotaan siis tänään hieman taaksepäin ja käydään läpi perusasiat: Mitä riskiraportointi on ja miten laaditaan tehokas riskiraportti?
Mikä on riskiraportti?
Riskiraportti välittää tietoa yrityksen tämän hetken kiireellisimmistä riskeistä. Tyypillisesti siinä käsitellään kriittisiä riskejä, joiden seuraukset yritykselle voivat olla vakavia, sekä nousevia riskejä, jotka voivat aiheuttaa suurempia ongelmia tulevaisuudessa, jos niitä ei seurata huolellisesti.
Riskikertomuksessa olisi lisäksi käsiteltävä sitä, miten hyvin yritys hallitsee tai ei hallitse näitä riskejä sillä hetkellä. Raportti saattaa siis sisältää myös aineistoa siitä, mitkä toimintatavat ovat riittämättömiä, mitkä kontrollit eivät toimi niin hyvin kuin odotetaan tai mitä lisätoimia saattaisi olla tarpeen, jotta riskit pysyisivät yrityksen sietokyvyn rajoissa.
Miksi riskiraportointi on tärkeää
Ensisijaisesti politiikat ovat riittämättömiä on tärkeää, koska hallituksen tehtävänä on valvoa riskienhallintajärjestelmien tehokkuutta – ja hallitus (erityisesti tarkastusvaliokunta) ei voi tehdä sitä hyvin ymmärtämättä, mitkä yrityksen riskit todella ovat. Tarkastusvaliokunnat, jotka suhtautuvat riskienhallinnan valvontaan välinpitämättömästi, rikkovat lakisääteisiä luottamustehtäviään ja voivat joutua oikeuteen. Ei siis ole mikään yllätys, että tarkastusvaliokunnat haluavat nähdä pätevän ja tehokkaan riskiraportoinnin.
Riskiraportointi on tärkeää myös siksi, että se auttaa hallitusta antamaan strategisia neuvoja. Riskiraportissa saatetaan esimerkiksi varoittaa suuresta korruption riskistä, jos yritys laajenee kehittyville markkinoille. Tämä raportti saattaa saada hallituksen harkitsemaan uudelleen, onko laajentuminen järkevää, tai vaihtoehtoisia hinnoittelustrategioita tai jotain muuta toimenpidettä. Riskiraportti on kuitenkin raaka-aine, jota hallitus käyttää näiden valintojen pohtimiseen.
Johtoryhmä puolestaan tukeutuu riskiraportteihin ymmärtääkseen, miten sen on ehkä muutettava toimintojaan, jotta se voisi harjoittaa liiketoimintaa riskitietoisemmalla tavalla. Oletetaan, että hallitus päättää, että laajentuminen kehittyville markkinoille on välttämätöntä. Tämän jälkeen johdon tehtävänä on päättää, miten tämä tavoite saavutetaan. Perusteellinen riskiraportti auttaa ylempiä toimihenkilöitä ymmärtämään, miten heidän on ehkä päivitettävä lahjoja ja viihdekäyttöä koskevia toimintatapoja, myyntikiintiöiden saavuttamisesta maksettavia kannustinpalkkioita tai due diligence -järjestelmiä ulkomaisten asiakkaiden tutkimiseksi.
Tehokas riskiraportointi on tärkeää myös sääntelyviranomaisille. Jos he joskus vierailevat yrityksessäsi tarkastamassa sen toimintaa tai compliance-ohjelmaa ja toteavat, että kyky raportoida riskeistä ja keskustella niistä on heikko, siitä ei seuraa mitään hyvää. Miettikääpä tätä kohtaa yhdysvaltalaisesta oikeusministeriön ohjeista, jotka koskevat compliance-ohjelmien arviointia:
Alkusysäyksenä syyttäjän arvioinnissa siitä, onko yrityksellä hyvin suunniteltu compliance-ohjelma, on ymmärtää yrityksen liiketoimintaa kaupallisesta näkökulmasta ja sitä, miten yritys on tunnistanut, arvioinut ja määritellyt riskiprofiilinsa…
Yritys ei pysty tunnistamaan, arvioimaan ja määrittelemään riskiprofiiliansa, jos yritysjohto ei puhu siitä, mitkä nämä riskit ovat – ja riskeistä raportointi on olennaisen tärkeää tämän keskustelun kannalta.
Mitä riskiraportin tulisi sisältää
Kuten edellä mainitsimme, riskiraportissasi olisi käsiteltävä kriittisimpiä riskejä sekä kehittymässä olevia riskejä.
Compliance-vastaavilla on luonnollisesti taipumus keskittyä kriittisiin tai kehittymässä oleviin sääntelyn noudattamiseen liittyviin riskeihin, ja se on täysin hyvä lähtökohta. Raportissa voidaan esimerkiksi käsitellä tietosuojasääntöjä, kun laajennat toimintaasi uusille markkinoille, tai julkisia hankintoja koskevia sääntöjä, jos alat tehdä tarjouksia julkisista hankinnoista. Compliance-vastaavat ovat aina huolissaan myös korruption vastaisesta valvonnasta.
Ajattele tässä laajasti. Mieti, miten muutokset yrityksesi rutiinitoiminnoissa saattavat muuttaa niiden pitkäaikaisten riskien luonnetta, joita yritykselläsi on aina ollut. Yksi uusi ja kriittinen riski voi olla esimerkiksi siirtyminen kotoa käsin työskenteleviin työntekijöihin, mikä voi muuttaa petoksiin, kyberturvallisuuteen ja häirintään liittyviä riskejäsi radikaalisti ilman, että kyseisiä asioita säätelevät varsinaiset lait ja määräykset muuttuvat. Joskus toimintojen siirtyminen jättää olemassa olevat käytännöt ja valvontatoimet riittämättömiksi kyseessä oleviin riskeihin nähden, ja tämä on syytä sisällyttää riskiraporttiin.
Kotona työskentelyä koskeva esimerkki tuo esiin toisen tärkeän seikan: Muuttuvatko ulkoiset olosuhteet, jotka kyseenalaistavat riskienhallintaohjelmasi oletukset?
Työn siirtyminen kotoa käsin tapahtuu esimerkiksi COVID-19-kriisin vuoksi. Samansuuntaisesti uudet kauppapolitiikat eri puolilla maailmaa voivat luoda pakoteriskejä; fuusio voi luoda kilpailuoikeudellisia riskejä. Mitä laajemmin määrittelet mahdolliset esiin nousevat tai kriittiset riskit, sitä paremmin pystyt tunnistamaan todelliset esiin nousevat tai kriittiset riskit, jotka pitäisi sisällyttää raporttiisi.
Mitä riskiraportin tulisi käsitellä
Jokaiseen raportin riskiin tulisi sisältyä keskustelu sen mahdollisista vaikutuksista. Tämän ylimmät johtajat ja hallituksen jäsenet haluavat ymmärtää, kun he päättävät, miten riskiin tulisi puuttua.
Voidaan määritellä ”vaikutus” monella tavalla:
- Taloudelliset: rahamääräiset rangaistukset osana viranomaisvalvontatoimia; tutkimukseen liittyvät henkilöstö- tai laitekustannukset (ulkopuoliset lakimiehet, uusi teknologia jne.); tulojen tai voittojen menetykset
- Operatiiviset: voiko riski johtaa siihen, että varastoa ei voida myydä, tehtaita ei voida käyttää, liiketoimintaprosesseja ei ehkä voida käyttää silloin, kun se on tarpeen, ja niin edelleen
- Strategiset:
- Maine: voisiko riski vahingoittaa yrityksen mainetta asiakkaiden, kuluttajien tai liikekumppaneiden keskuudessa
Kaikkia edellä mainittuja kohtia ei tarvitse käsitellä perusteellisesti, mutta säännösten noudattamisesta vastaavien virkamiesten olisi ainakin pohdittava näitä muuttujia ja sitä, mitkä muuttujat ovat merkityksellisimpiä käsiteltävän riskin kannalta.
Raportissa olisi selvitettävä, miten compliance-ohjelma pyrkii puuttumaan kyseiseen riskiin. Ilmoita esimerkiksi, tuottavatko yrityksen nykyiset toimintaperiaatteet ja valvontatoimet toivottuja tuloksia; tai mitä puutteita riskin hallintaan tarkoitetuissa valvontatoimissa on. Keskustelussa olisi myös esitettävä aikataulu toimille, joiden avulla mahdolliset valvonnan heikkoudet voidaan korjata, yksilöitävä riskin omistaja ja pyydettävä tarvittaessa ohjeita hallitukselta tai johdolta.
Miten luodaan tehokas riskiraportti?
Emme oleta, että raportissasi on tunnistettu kaikki ne riskit, jotka todella pitäisi sisällyttää. Tässä vaiheessa todellinen uhka on se, että raportissa esitetään liikaa tietoa tavalla, joka jättää lukijan hämmentyneeksi tai hämmentyneeksi siitä, mitä pitäisi tehdä. Tehokkaassa riskiraportissa on sisällön lisäksi kyse keskittymisestä ja rakenteesta.
Riskiraportin tulisi esimerkiksi olla helppolukuinen ja sulava. Tämä tarkoittaa tiivistelmää riskeistä ja siitä, miksi ne on sisällytetty raporttiin, ja sen jälkeen syvällistä keskustelua kustakin riskistä ja sitä tukevista tiedoista. Tiivistelmän pituus voi vaihdella, mutta nyrkkisääntönä voidaan pitää, että yli 10 sivua pitkä tiivistelmä on liian pitkä.
Yhteenvedon jälkeen voit syventyä yksityiskohtiin, jotka voivat olla laajoja. Tähän voit sisällyttää tukitietoja (mitä enemmän käytät kaavioita tai tietojen visualisointityökalujen grafiikkaa, sitä parempi), tarkastuskertomuksia, tapausselostuksia, kustannusennusteita ja niin edelleen. Sähköisessä muodossa voit jopa jäsentää riskiraporttisi linkkien avulla, jotta lukija voi siirtyä edestakaisin yhteenvedosta syvällisempään keskusteluun.
Tehokkaassa raportissa kukin riski liitetään myös selkeästi asetettuun liiketoimintatavoitteeseen. Loppujen lopuksi useimmat riskiraportin lukijat tulevat liiketoiminta- tai johtotehtävistä, eikä heillä ole juurikaan taustaa säännösten noudattamisesta tai riskienhallinnasta. Riskin liittäminen liiketoiminnan tavoitteeseen kertoo lukijalle, miksi riskillä on merkitystä ja miksi se on hänen huomionsa arvoinen.
Viimeiseksi tehokkaassa raportissa hahmotellaan toimintasuunnitelma tai esitetään kysymyksiä, joihin hallituksen tai ylimmän johdon on vastattava. Tehokkaassa raportissa lukija otetaan mukaan joko vakuuttamalla hänet siitä, että on olemassa suunnitelma riskin hallitsemiseksi, tai pyytämällä ohjeita siitä, mitä seuraavaksi pitäisi tehdä. Riskiraportti kuvaa yrityksen riskienhallintahaasteiden tämänhetkistä tilannetta ja kartoittaa mahdollisia etenemistapoja.
Riskiraportti ei ole harjoitus sinänsä. Se ei ole rasti ruutuun -harjoitus, jolla osoitetaan, että compliance-toiminto on tehnyt työnsä. Se on työkalu, joka auttaa ylempiä johtajia tekemään työnsä yrityksen johtamisessa – ja mitä asiantuntevammin käsittelet tätä työkalua, sitä menestyksekkäämpi compliance-ohjelmasi on.