La stesura di report sui rischi organizzativi da sottoporre all’attenzione degli alti dirigenti è uno dei compiti più importanti dei chief compliance officer. Un reporting efficace sui rischi è fondamentale per un forte programma di conformità e, francamente, per la sicurezza della carriera di un chief compliance officer. È qualcosa che ogni professionista della conformità deve capire e fare bene.
Quindi oggi facciamo un passo indietro e rivediamo i fondamenti: Cos’è il risk reporting e come si crea un risk report efficace?
Cos’è un risk report?
Un risk report fornisce informazioni sui rischi più pressanti dell’azienda in quel momento. Di solito si occupa dei rischi critici, dove le conseguenze per l’azienda potrebbero essere terribili; così come dei rischi emergenti che potrebbero causare problemi più grandi in futuro se non sono monitorati attentamente.
Inoltre, il rapporto sui rischi dovrebbe discutere quanto bene l’azienda stia o non stia gestendo quei rischi in quel momento. Quindi il rapporto potrebbe anche includere materiale su quali politiche sono insufficienti, quali controlli non stanno funzionando bene come ci si aspetta, o quali passi aggiuntivi potrebbero essere necessari per mantenere il rischio entro i livelli di tolleranza dell’azienda.
Perché il risk reporting è importante
Per lo più, le politiche sono insufficienti è importante perché il lavoro del consiglio di amministrazione è quello di monitorare l’efficacia dei sistemi di gestione del rischio – e il consiglio (in particolare il comitato di revisione) non può farlo bene senza capire quali sono effettivamente i rischi della società. I comitati di revisione che adottano un approccio disattento alla supervisione della gestione del rischio violano i loro doveri fiduciari secondo la legge e possono affrontare azioni legali in tribunale. Quindi non è una sorpresa che i comitati di revisione vogliano vedere un reporting dei rischi competente ed efficace.
Il risk reporting è importante anche perché aiuta il consiglio ad offrire consigli strategici. Per esempio, il vostro rapporto sui rischi potrebbe mettere in guardia su un alto rischio di corruzione se l’azienda si espande nei mercati emergenti. Quel rapporto potrebbe spingere il consiglio a riconsiderare se l’espansione è saggia, o strategie di prezzo alternative, o qualche altra mossa. Indipendentemente da ciò, il rapporto sui rischi è la materia prima che il consiglio usa per ponderare queste scelte.
Nel frattempo, il team di gestione si baserà sui rapporti sui rischi per capire come potrebbe essere necessario cambiare le operazioni per fare affari in un modo più consapevole dei rischi. Diciamo che il consiglio decide che l’espansione nei mercati emergenti è necessaria. Spetta poi al management decidere come raggiungere questo obiettivo. Un’accurata relazione sui rischi aiuterà i dirigenti a capire come potrebbero aver bisogno di aggiornare le politiche sui regali e le spese di intrattenimento, o la compensazione degli incentivi per il raggiungimento delle quote di vendita, o i sistemi di due diligence per la ricerca di clienti all’estero.
Un’efficace relazione sui rischi è importante anche per le autorità di regolamentazione. Se dovessero mai visitare la vostra azienda per esaminare la sua condotta o il programma di conformità e trovare una debole capacità di segnalare e discutere i rischi, non ne verrà nulla di buono. Considerate questo passaggio della guida del Dipartimento di Giustizia degli Stati Uniti sulla valutazione dei programmi di conformità:
Il punto di partenza per la valutazione di un procuratore sul fatto che una società abbia un programma di conformità ben progettato è quello di capire il business della società da una prospettiva commerciale, come la società ha identificato, valutato e definito il suo profilo di rischio …
Una società non può identificare, valutare e definire il suo profilo di rischio se i dirigenti non parlano di quali sono questi rischi e un rapporto sui rischi è fondamentale per questa discussione.
Cosa dovrebbe includere un risk report
Come abbiamo detto sopra, il vostro risk report dovrebbe affrontare i rischi più critici, così come i rischi emergenti.
I responsabili della conformità tenderanno naturalmente a concentrarsi sui rischi critici o emergenti di conformità normativa, e questo è un ottimo punto di partenza. Per esempio, il vostro rapporto potrebbe occuparsi delle regole sulla privacy dei dati quando vi state espandendo in nuovi mercati, o delle regole sui contratti governativi se state iniziando a fare offerte per i contratti governativi. I responsabili della conformità si preoccuperanno sempre anche dell’applicazione dell’anti-corruzione.
Pensate in modo espansivo. Considerate come i cambiamenti nelle operazioni di routine della vostra azienda potrebbero cambiare la natura dei rischi di lunga data che la vostra azienda ha sempre avuto. Per esempio, un rischio emergente e critico potrebbe essere il passaggio a dipendenti che lavorano da casa, il che potrebbe cambiare radicalmente i vostri rischi di frode, cybersicurezza e molestie, senza alcun cambiamento nelle leggi e nei regolamenti che governano tali questioni. A volte un cambiamento nelle operazioni lascerà le politiche e i controlli esistenti insufficienti per i rischi in questione, e questo è qualcosa da includere in un rapporto sui rischi.
L’esempio del lavoro da casa richiama un altro punto importante: Ci sono condizioni esterne che stanno cambiando, che sfidano i presupposti del vostro programma di gestione del rischio?
Per esempio, il lavoro da casa sta avvenendo a causa della crisi COVID-19. Sulla stessa linea, nuove politiche commerciali in tutto il mondo potrebbero creare rischi di sanzioni; una fusione potrebbe creare rischi antitrust. Più ampia è la definizione di possibili rischi emergenti o critici, meglio sarete in grado di identificare gli effettivi rischi emergenti o critici che dovrebbero essere inseriti nel vostro rapporto.
Che cosa dovrebbe affrontare un report sui rischi
Ogni rischio nel report dovrebbe includere una discussione del suo potenziale impatto. Questo è ciò che i dirigenti senior e i direttori del consiglio di amministrazione vogliono capire mentre decidono come il rischio dovrebbe essere affrontato.
Possiamo definire “impatto” lungo diverse linee:
- Finanziario: sanzioni pecuniarie come parte di un’azione di applicazione della normativa; costi di manodopera o attrezzature correlate per quell’indagine (consulenti esterni, nuova tecnologia e così via); perdita di entrate o profitti
- Operativo: se un rischio potrebbe portare a un inventario che non può essere venduto, fabbriche che non possono essere utilizzate, processi aziendali che potrebbero non funzionare quando necessario e così via
- Strategico: se un rischio potrebbe vanificare alcune opzioni a lungo termine, come lasciare l’azienda con troppo poco contante per acquisire obiettivi di fusione o sviluppare nuovi prodotti
- Reputazionale: un rischio potrebbe danneggiare la reputazione aziendale tra i clienti, i consumatori o i partner commerciali
Non ogni rischio ha bisogno di una discussione completa di ogni punto sopra, ma i responsabili della conformità dovrebbero almeno considerare queste variabili, e quali sono le più rilevanti per il rischio che state discutendo.
Il rapporto dovrebbe esplorare come il programma di conformità sta cercando di affrontare il rischio in questione. Per esempio, indicare se le politiche e i controlli esistenti dell’azienda stanno producendo i risultati desiderati; o quali debolezze esistono nei controlli destinati a governare il rischio. La discussione dovrebbe anche includere una linea temporale di azione per risolvere qualsiasi debolezza di controllo presente, identificare il proprietario del rischio e chiedere una guida al consiglio o alla direzione, se necessario.
Come creare un rapporto sui rischi efficace?
Immaginiamo che il vostro rapporto abbia identificato tutti i rischi che dovrebbero davvero essere inclusi. A quel punto, la vera minaccia è che il rapporto presenti troppe informazioni, in un modo che lasci il lettore sopraffatto o confuso su cosa fare. Un rapporto sui rischi efficace riguarda la focalizzazione e la struttura, oltre al contenuto.
Per esempio, il rapporto sui rischi dovrebbe essere facile da leggere e digerire. Questo significa un riassunto esecutivo dei rischi e del perché sono inclusi nel rapporto, seguito da discussioni approfondite di ogni rischio e dai vostri dati di supporto. La lunghezza del riassunto può variare, ma come regola generale, qualsiasi riassunto che supera le 10 pagine è troppo lungo.
Dopo il riassunto esecutivo, potete tuffarvi nei dettagli, che potrebbero essere voluminosi. Questo è il punto in cui potete includere dati di supporto (più usate i grafici o le grafiche degli strumenti di visualizzazione dei dati, meglio è), rapporti di audit, storie di casi, proiezioni di costi e così via. In formato elettronico, potete anche strutturare il vostro rapporto sui rischi con collegamenti che permettono al lettore di saltare avanti e indietro dal riassunto alla discussione approfondita.
Un rapporto efficace lega anche chiaramente ogni rischio a un obiettivo aziendale dichiarato. Dopo tutto, la maggior parte delle persone che leggono il rapporto sui rischi provengono dalle operazioni commerciali o dalle funzioni di gestione, senza un grande background nella conformità o nella gestione dei rischi. Collegare il rischio a un obiettivo aziendale dice al lettore perché il rischio è importante e merita la sua attenzione.
Infine, un rapporto efficace traccia un piano d’azione o pone delle domande a cui il consiglio o l’alta direzione devono rispondere. Un rapporto efficace coinvolge il lettore, sia rassicurandolo che esiste un piano per portare il rischio sotto controllo, sia sollecitando una guida su cosa fare dopo. Un rapporto sul rischio cattura lo stato delle sfide di gestione del rischio di un’azienda in questo momento e traccia i potenziali modi di procedere.
Ciò che un rapporto sui rischi non è è un esercizio in sé. Non è un esercizio di check-the-box per mostrare che la funzione di conformità ha fatto il suo lavoro. È uno strumento per aiutare i leader senior a fare il loro lavoro di governo dell’azienda, e quanto più sapientemente si gestisce questo strumento, tanto più successo avrà il programma di conformità.