A szervezeti kockázatokról szóló jelentések készítése a felsővezetők számára a felsővezetők számára az egyik legfontosabb feladat, amelyet a megfelelésért felelős vezetők ellátnak. A hatékony kockázati jelentéstétel alapvető fontosságú egy erős megfelelési program – és őszintén szólva a vezető megfelelési tisztviselő karrierjének biztonsága szempontjából is. Ez olyasmi, amit minden megfelelőségi szakembernek meg kell értenie és jól kell csinálnia.
Most tehát lépjünk hátra, és tekintsük át az alapokat: Mi az a kockázati jelentés, és hogyan kell hatékony kockázati jelentést készíteni?
Mi a kockázati jelentés?
A kockázati jelentés információkat közvetít a vállalat pillanatnyilag legégetőbb kockázatairól. Jellemzően olyan kritikus kockázatokkal foglalkozik, amelyeknek a cégre nézve súlyos következményei lehetnek; valamint olyan újonnan felmerülő kockázatokkal, amelyek a jövőben nagyobb bajt okozhatnak, ha nem figyelik őket gondosan.
A kockázati jelentésnek továbbá ki kell térnie arra, hogy a vállalat az adott pillanatban mennyire jól vagy rosszul kezeli ezeket a kockázatokat. Így a jelentés tartalmazhat anyagot arról is, hogy mely irányelvek elégtelenek, mely kontrollok nem működnek olyan jól, mint várták, vagy milyen további lépésekre lehet szükség ahhoz, hogy a kockázatot a vállalat tűréshatárán belül tartsa.
Miért fontos a kockázati jelentés
Az irányelvek elégtelenek elsősorban azért fontos, mert az igazgatótanács feladata a kockázatkezelési rendszerek hatékonyságának ellenőrzése – és az igazgatótanács (konkrétan az auditbizottság) ezt nem tudja jól elvégezni anélkül, hogy megértené, hogy valójában milyenek a vállalat kockázatai. Azok az auditbizottságok, amelyek a kockázatkezelés felügyeletét hanyagul kezelik, megsértik a törvény szerinti bizalmi kötelezettségeiket, és bírósági perekkel nézhetnek szembe. Így nem meglepő, hogy az auditbizottságok hozzáértő, hatékony kockázatjelentést szeretnének látni.
A kockázati jelentés azért is fontos, mert segít az igazgatóságnak stratégiai tanácsot adni. A kockázati jelentés például figyelmeztethet a korrupció magas kockázatára, ha a vállalat feltörekvő piacokra terjeszkedik. Ez a jelentés arra ösztönözheti az igazgatótanácsot, hogy gondolja át, hogy bölcs dolog-e a terjeszkedés, vagy alternatív árképzési stratégiák, vagy más lépések megtétele. Ettől függetlenül a kockázati jelentés az a nyersanyag, amelyet az igazgatóság felhasznál a döntések mérlegeléséhez.
Mindeközben a vezetőség a kockázati jelentésekre támaszkodik, hogy megértse, hogyan kell esetleg változtatni a működésen ahhoz, hogy az üzleti tevékenységet kockázattudatosabb módon folytassa. Tegyük fel, hogy az igazgatóság úgy dönt, hogy szükség van a feltörekvő piacokon való terjeszkedésre. Ezután a vezetőségre hárul annak eldöntése, hogyan lehet ezt a célt elérni. Egy alapos kockázati jelentés segít a felsővezetőknek megérteni, hogyan kell esetleg aktualizálniuk az ajándékokra és a reprezentációs kiadásokra vonatkozó irányelveket, vagy az értékesítési kvóták eléréséért járó ösztönző kompenzációt, vagy a tengerentúli ügyfelek kutatására szolgáló átvilágítási rendszereket.
A hatékony kockázati jelentés a szabályozó hatóságok számára is fontos. Ha valaha is meglátogatják a vállalatát, hogy felülvizsgálják a magatartását vagy a megfelelőségi programot, és gyenge képességet találnak a kockázatok jelentésére és megvitatására, abból semmi jó nem származik. Gondoljunk csak erre a passzusra az U.S. Igazságügyi Minisztérium megfelelőségi programok értékeléséről szóló útmutatójából:
Az ügyész értékelésének kiindulópontja, hogy egy vállalat rendelkezik-e jól megtervezett megfelelőségi programmal, az, hogy megértse a vállalat üzleti tevékenységét kereskedelmi szempontból, hogy a vállalat hogyan azonosította, értékelte és határozta meg a kockázati profilját…
A vállalat nem tudja azonosítani, értékelni és meghatározni a kockázati profilját, ha a vezetők nem beszélnek arról, hogy mik ezek a kockázatok – és a kockázati jelentés alapvető fontosságú ehhez a megbeszéléshez.
Mit kell tartalmaznia a kockázati jelentésnek
Amint fentebb említettük, a kockázati jelentésnek ki kell térnie a legkritikusabb kockázatokra, valamint az újonnan felmerülő kockázatokra.
A megfelelési tisztviselők természetesen hajlamosak lesznek a kritikus vagy újonnan felmerülő szabályozási megfelelési kockázatokra összpontosítani, és ez egy teljesen jó kiindulópont. A jelentés például foglalkozhat az adatvédelmi szabályokkal, ha új piacokra terjeszkedik, vagy a kormányzati szerződéskötési szabályokkal, ha kormányzati szerződésekre kezd pályázni. A megfelelőségi tisztviselők mindig aggódni fognak a korrupcióellenes végrehajtás miatt is.
Gondolkodjon itt tágan. Gondolja végig, hogy a vállalata rutinszerű működésében bekövetkező változások hogyan változtathatják meg a régóta fennálló kockázatok jellegét, amelyekkel a vállalata mindig is rendelkezett. Például az egyik újonnan megjelenő és kritikus kockázat lehet az otthonról dolgozó alkalmazottakra való áttérés – ami radikálisan megváltoztathatja a csalás, a kiberbiztonság és a zaklatás kockázatát anélkül, hogy az ezeket a kérdéseket szabályozó tényleges törvények és rendeletek megváltoznának. Előfordul, hogy a működésben bekövetkező váltás miatt a meglévő irányelvek és ellenőrzések nem elegendőek az adott kockázatokhoz, és ezt a kockázatjelentésnek tartalmaznia kell.
Az otthonról végzett munka példája egy másik fontos pontra is felhívja a figyelmet: Változnak-e olyan külső körülmények, amelyek megkérdőjelezik a kockázatkezelési program feltételezéseit?
Az otthonról történő munkavégzés például a COVID-19 válság miatt történik. Hasonlóan, az új kereskedelmi politikák világszerte szankciós kockázatokat teremthetnek; egy fúzió trösztellenes kockázatokat okozhat. Minél tágabban határozza meg a lehetséges újonnan felmerülő vagy kritikus kockázatokat, annál jobban tudja majd azonosítani a tényleges újonnan felmerülő vagy kritikus kockázatokat, amelyeknek szerepelniük kell a jelentésében.
Mivel kell foglalkoznia a kockázati jelentésnek
A jelentésben szereplő minden kockázatnak tartalmaznia kell a lehetséges hatásainak tárgyalását. Ezt akarják megérteni a felsővezetők és az igazgatótanács tagjai, amikor arról döntenek, hogyan kell kezelni a kockázatot.
A “hatást” többféleképpen is meghatározhatjuk:
- Pénzügyi: pénzbüntetések a hatósági végrehajtási eljárás részeként; a vizsgálathoz kapcsolódó munkaerő- vagy eszközköltségek (külső tanácsadó, új technológia stb.); bevétel- vagy nyereségkiesés
- Működési: a kockázat vezethet-e ahhoz, hogy a készleteket nem lehet eladni, a gyárakat nem lehet használni, az üzleti folyamatok nem működnek, amikor szükséges, és így tovább
- Stratégiai:
Nem minden kockázat esetében szükséges minden fenti pont teljes körű megvitatása, de a megfelelésért felelős tisztviselőknek legalább ezeket a változókat figyelembe kell venniük, és azt, hogy melyek a legfontosabbak a tárgyalt kockázat szempontjából.
A jelentésnek fel kell tárnia, hogy a megfelelőségi program hogyan próbálja kezelni a szóban forgó kockázatot. Például állapítsa meg, hogy a vállalat meglévő irányelvei és ellenőrzései hozzák-e a kívánt eredményeket; vagy milyen hiányosságok vannak a kockázat szabályozására szolgáló ellenőrzésekben. A megbeszélésnek tartalmaznia kell egy cselekvési ütemtervet is az esetleges ellenőrzési hiányosságok megoldására, azonosítania kell a kockázat tulajdonosát, és kérnie kell az igazgatótanács vagy a vezetőség útmutatását, ha az szükséges.
Hogyan készítsen hatékony kockázati jelentést?
Tegyük fel, hogy a jelentésében azonosította az összes olyan kockázatot, amelyet valóban tartalmaznia kell. Ekkor az igazi veszélyt az jelenti, hogy a jelentés túl sok információt közöl, mégpedig úgy, hogy az olvasót túlterheli vagy összezavarja, hogy mit is tegyen. A hatékony kockázati jelentés a tartalom mellett a fókuszról és a szerkezetről is szól.
A kockázati jelentésnek például könnyen olvashatónak és emészthetőnek kell lennie. Ez azt jelenti, hogy egy vezetői összefoglaló a kockázatokról és arról, hogy miért szerepelnek a jelentésben, majd az egyes kockázatok és az azokat alátámasztó adatok részletes tárgyalása következik. Az összefoglaló hossza változhat, de ökölszabályként elmondható, hogy a 10 oldalnál hosszabb összefoglaló már a túl hosszúság felé közelít.
A vezetői összefoglaló után belemerülhet a részletekbe – amelyek terjedelmesek lehetnek. Ez az a hely, ahol mellékelheti az alátámasztó adatokat (minél több diagramot vagy adatvizualizációs eszközökből származó grafikát használ, annál jobb), ellenőrzési jelentéseket, esettörténeteket, költségelőrejelzéseket és így tovább. Elektronikus formátumban akár linkekkel is felépítheti a kockázati jelentést, hogy az olvasó előre-hátra ugorhasson az összefoglalótól a mélyebb kifejtésig.
Egy hatékony jelentés az egyes kockázatokat egyértelműen egy meghatározott üzleti célhoz is köti. Végül is a legtöbb ember, aki a kockázati jelentést olvassa, az üzleti műveletekből vagy a vezetési funkciókból érkezik, és nem rendelkezik nagy háttérrel a megfelelés vagy a kockázatkezelés terén. A kockázatnak az üzleti célhoz való kapcsolása elmondja az olvasónak, hogy miért fontos a kockázat, és miért érdemes a figyelmét rá fordítani.
Végül egy hatékony jelentés cselekvési tervet vázol fel, vagy olyan kérdéseket tesz fel, amelyekre az igazgatótanácsnak vagy a felső vezetésnek választ kell adnia. A hatékony jelentés bevonja az olvasót, akár azzal, hogy megnyugtatja őt, hogy létezik egy terv a kockázat ellenőrzés alá vonására, akár azzal, hogy útmutatást kér a további teendőkkel kapcsolatban. A kockázati jelentés megragadja a vállalat kockázatkezelési kihívásainak pillanatnyi helyzetét, és felvázolja a lehetséges továbblépési lehetőségeket.
A kockázati jelentés nem egy önmagában álló feladat. Nem egy check-the-box gyakorlat, amely megmutatja, hogy a megfelelési funkció elvégezte a munkáját. Ez egy olyan eszköz, amely segíti a felsővezetőket a vállalat irányításával kapcsolatos munkájuk elvégzésében – és minél szakszerűbben kezeli ezt az eszközt, annál sikeresebb lesz a megfelelési programja.