At udarbejde rapporter om organisatoriske risici, som ledende medarbejdere skal overveje, er en af de vigtigste opgaver, som chefer for compliance har. Effektiv risikorapportering er grundlæggende for et stærkt complianceprogram – og ærlig talt for en chief compliance officers karrieresikkerhed. Det er noget, som enhver compliance-professionel skal forstå og gøre godt.
Så lad os i dag træde et skridt tilbage og gennemgå de grundlæggende principper: Hvad er risikorapportering, og hvordan udarbejder man en effektiv risikorapportering?
Hvad er en risikorapportering?
En risikorapportering formidler oplysninger om virksomhedens mest presserende risici på det aktuelle tidspunkt. Typisk vil den omhandle kritiske risici, hvor konsekvenserne for virksomheden kan være alvorlige, samt nye risici, som kan give større problemer i fremtiden, hvis de ikke overvåges nøje.
Risikorapporten bør desuden diskutere, hvor godt virksomheden håndterer eller ikke håndterer disse risici på det pågældende tidspunkt. Rapporten kan således også indeholde materiale om, hvilke politikker der er utilstrækkelige, hvilke kontroller der ikke fungerer så godt som forventet, eller hvilke yderligere skridt der kan være nødvendige for at holde risikoen inden for virksomhedens tolerancetærskel.
Hvorfor risikorapportering er vigtig
Først og fremmest er politikker er utilstrækkelige vigtigt, fordi bestyrelsens opgave er at overvåge effektiviteten af risikostyringssystemerne – og bestyrelsen (specifikt revisionsudvalget) kan ikke gøre det godt uden at forstå, hvad virksomhedens risici faktisk er. Revisionsudvalg, der indtager en lemfældig holdning til tilsynet med risikostyring, overtræder deres tillidspligt i henhold til loven og kan blive sagsøgt i retten. Det er derfor ikke overraskende, at revisionsudvalgene gerne ser en kompetent og effektiv risikorapportering.
Risikorapportering er også vigtig, fordi den hjælper bestyrelsen med at give strategisk rådgivning. Din risikorapportering kan f.eks. advare om en høj risiko for korruption, hvis virksomheden skulle ekspandere til nye markeder. Denne rapport kan få bestyrelsen til at genoverveje, om det er klogt at ekspandere, eller alternative prisstrategier eller andre tiltag. Uanset hvad, er risikorapporten det råmateriale, som bestyrelsen bruger til at overveje disse valg.
I mellemtiden vil ledelsen stole på risikorapporterne for at forstå, hvordan den kan være nødt til at ændre sine aktiviteter for at drive forretning på en mere risikobetonet måde. Lad os sige, at bestyrelsen beslutter, at det er nødvendigt at udvide til nye markeder. Det er så op til ledelsen at beslutte, hvordan dette mål skal nås. En grundig risikorapportering vil hjælpe den øverste ledelse med at forstå, hvordan de kan være nødt til at opdatere politikker om gaver og repræsentationsudgifter eller incitamentskompensation for at nå salgskvoter eller due diligence-systemer til at undersøge oversøiske kunder.
Effektiv risikorapportering er også vigtig for tilsynsmyndighederne. Hvis de nogensinde besøger din virksomhed for at gennemgå dens adfærd eller complianceprogrammet og finder en svag evne til at rapportere og drøfte risici, kommer der ikke noget godt ud af det. Overvej denne passage fra den amerikanske Justitsministeriets vejledning om evaluering af complianceprogrammer:
Startpunktet for en anklagemyndigheds evaluering af, om en virksomhed har et veludformet complianceprogram, er at forstå virksomhedens forretning ud fra et kommercielt perspektiv, hvordan virksomheden har identificeret, vurderet og defineret sin risikoprofil…
En virksomhed kan ikke identificere, vurdere og definere sin risikoprofil, hvis lederne ikke taler om, hvad disse risici er – og en risikorapportering er grundlæggende for den diskussion.
Hvad en risikorapport bør indeholde
Som vi nævnte ovenfor, bør din risikorapport omhandle de mest kritiske risici samt nye risici.
Compliance-ansvarlige vil naturligt have en tendens til at fokusere på kritiske eller nye risici for overholdelse af lovgivningen, og det er et udmærket sted at starte. Din rapport kan f.eks. omhandle regler om databeskyttelse, når du ekspanderer til nye markeder, eller regler om offentlige kontrakter, hvis du begynder at byde på offentlige kontrakter. Compliance-ansvarlige vil også altid bekymre sig om håndhævelse af korruptionsbekæmpelse.
Tænk vidtfavnende her. Overvej, hvordan ændringer i din virksomheds rutinemæssige aktiviteter kan ændre arten af de risici, som din virksomhed altid har haft i lang tid. En ny og kritisk risiko kunne f.eks. være et skift til medarbejdere, der arbejder hjemmefra – hvilket kunne ændre dine risici for svig, cybersikkerhed og chikane radikalt, uden at der sker nogen ændring i de faktiske love og bestemmelser, der regulerer disse spørgsmål. Nogle gange vil et skift i driften medføre, at de eksisterende politikker og kontroller ikke er tilstrækkelige i forhold til de aktuelle risici, og det er noget, der skal medtages i en risikorapport.
Eksemplet med arbejde hjemmefra fremhæver et andet vigtigt punkt: Er der nogen eksterne forhold, der ændrer sig, og som udfordrer antagelserne i dit risikostyringsprogram?
For eksempel sker skiftet i forbindelse med arbejde hjemmefra på grund af COVID-19-krisen. På samme måde kan nye handelspolitikker rundt om i verden skabe sanktionsrisici, og en fusion kan skabe antitrustrisici. Jo mere bredt du definerer mulige nye eller kritiske risici, jo bedre vil du være i stand til at identificere de faktiske nye eller kritiske risici, som bør indgå i din rapport.
Hvad en risikorapport bør omhandle
Alle risici i rapporten bør indeholde en diskussion af deres potentielle konsekvenser. Det er det, som ledende medarbejdere og bestyrelsesmedlemmer ønsker at forstå, når de beslutter, hvordan risikoen skal håndteres.
Vi kan definere “indvirkning” på flere måder:
- Finansiel: Pengebøder som led i håndhævelse af lovgivningen; relaterede omkostninger til arbejdskraft eller udstyr i forbindelse med denne undersøgelse (ekstern advokat, ny teknologi osv.); tabte indtægter eller overskud
- Operationel: Om en risiko kan føre til lagerbeholdninger, der ikke kan sælges, fabrikker, der ikke kan bruges, forretningsprocesser, der måske ikke fungerer, når det er nødvendigt osv:
- Om en risiko kan forpurre visse langsigtede muligheder, f.eks. at virksomheden har for få penge til at erhverve fusionsmål eller udvikle nye produkter
- Omdømme: Kan en risiko skade virksomhedens omdømme blandt kunder, forbrugere eller forretningspartnere
Det er ikke nødvendigt at drøfte alle ovenstående punkter fuldt ud for alle risici, men complianceansvarlige bør i det mindste overveje disse variabler, og hvilke variabler der er mest relevante for den risiko, man drøfter.
Rapporten bør undersøge, hvordan complianceprogrammet forsøger at imødegå den pågældende risiko. Angiv f.eks. om virksomhedens eksisterende politikker og kontroller giver de ønskede resultater; eller hvilke svagheder der er i de kontroller, der skal styre risikoen. Diskussionen bør også omfatte en tidslinje for foranstaltninger til at løse eventuelle kontrolsvagheder, du har, identificere ejeren af risikoen og bede om vejledning fra bestyrelsen eller ledelsen, hvis det er nødvendigt.
Hvordan udarbejder man en effektiv risikorapport?
Lad os antage, at din rapport har identificeret alle de risici, der virkelig bør indgå. På det tidspunkt er den reelle trussel, at rapporten præsenterer for mange oplysninger på en måde, så læseren bliver overvældet eller forvirret over, hvad han skal gøre. En effektiv risikorapport handler ikke kun om indhold, men også om fokus og struktur.
For eksempel bør risikorapporten være let at læse og fordøje. Det betyder, at der skal være et resumé af risiciene, og hvorfor de er med i rapporten, efterfulgt af en dybdegående diskussion af hver enkelt risiko og dine understøttende data. Længden af resuméet kan variere, men som tommelfingerregel kan man sige, at et resumé på over 10 sider er på vej til at blive for langt.
Efter dette resumé kan du dykke ned i detaljerne – som kan være omfangsrige. Det er her, du kan medtage understøttende data (jo mere du bruger diagrammer eller grafik fra datavisualiseringsværktøjer, jo bedre), revisionsrapporter, sagshistorier, omkostningsfremskrivninger osv. I elektronisk format kan du endda strukturere din risikorapport med links, så læseren kan springe frem og tilbage fra resuméet til den dybdegående diskussion.
En effektiv rapport knytter også klart hver enkelt risiko til et erklæret forretningsmål. Når alt kommer til alt, vil de fleste personer, der læser risikorapporten, komme fra forretningsdrift eller ledelsesfunktioner uden nogen større baggrund inden for compliance eller risikostyring. Ved at forbinde risikoen med et forretningsmål får læseren at vide, hvorfor risikoen er vigtig og fortjener hans eller hendes opmærksomhed.
Sidst, en effektiv rapport udstikker en handlingsplan eller stiller spørgsmål, som bestyrelsen eller den øverste ledelse skal besvare. En effektiv rapport involverer læseren, enten ved at forsikre ham eller hende om, at der findes en plan for at bringe risikoen under kontrol, eller ved at bede om vejledning om, hvad der nu skal gøres. En risikorapportering beskriver, hvordan det står til med en virksomheds risikostyringsudfordringer på nuværende tidspunkt, og viser mulige veje fremad.
Hvad en risikorapport ikke er, er en øvelse i sig selv. Det er ikke en check-the-box-øvelse, der skal vise, at compliance-funktionen har gjort sit arbejde. Det er et værktøj til at hjælpe de øverste ledere med at udføre deres arbejde med at lede virksomheden – og jo mere kompetent du håndterer dette værktøj, jo mere vellykket vil dit compliance-program blive.