組織のリスクに関する報告書を作成し、上級管理者に検討させることは、コンプライアンス責任者の最も重要な職務の1つである。 効果的なリスク報告は、強力なコンプライアンス・プログラムの基本であり、率直に言って、コンプライアンス最高責任者のキャリアを保証するものでもあります。 すべてのコンプライアンス担当者は、このことを理解し、適切に対処する必要があります。 リスク報告とは何か、効果的なリスク報告書を作成するにはどうすればよいか。
リスクレポートとは
リスクレポートは、その時点での会社の最も差し迫ったリスクに関する情報を提供するものです。 一般的には、会社にとって重大な結果をもたらす可能性のある重要なリスクや、注意深く監視しなければ将来的に大きな問題を引き起こす可能性のある新たなリスクなどを取り上げることになります。
さらに、リスク報告書は、会社がその時点でこれらのリスクをどの程度うまく管理しているか、あるいはしていないかを論じる必要がある。 そのため、報告書には、どの方針が不十分か、どのコントロールが期待通りに機能していないか、あるいはリスクを会社の許容範囲内に抑えるためにどのような追加措置が必要かという資料も含まれるかもしれません。
リスク報告が重要な理由
最も重要なことは、取締役会の仕事はリスク管理システムの有効性を監視することであり、会社のリスクの実態を理解しなければ、取締役会 (特に監査委員会) はそれをうまく行うことができないため、方針が不十分であるということが重要だということです。 監査委員会は、リスクマネジメントの監視を怠ると、受託者責任に違反し、法廷で訴えられる可能性がある。 ですから、監査委員会が有能で効果的なリスク報告を見たいと思うのは当然のことです。
リスク報告は、取締役会が戦略的な助言をするのに役立つという点でも重要である。 例えば、リスク報告書は、会社が新興国市場に進出した場合、汚職のリスクが高いことを警告するかもしれない。 その報告書は、取締役会に、拡大が賢明かどうか、あるいは代替的な価格戦略、あるいは他の動きを再考するよう促すかもしれない。 いずれにせよ、リスク報告書は、取締役会がそのような選択を熟考するための材料となる。
一方、経営陣は、よりリスクを意識した方法でビジネスを行うために、どのように業務を変更する必要があるかを理解するために、リスク報告書に依存することになる。 例えば、取締役会が新興国市場への進出が必要であると決定したとしよう。 そして、その目標をどのように達成するかは、経営陣の判断に委ねられる。 徹底したリスク報告により、上級管理者は、贈り物や接待費に関するポリシー、販売ノルマ達成のためのインセンティブ報酬、海外顧客調査のためのデューデリジェンスシステムなどを更新する必要があるかもしれないことを理解することができます。 規制当局があなたの会社を訪問し、その行動やコンプライアンス プログラムを確認する際に、リスクを報告し、議論する能力が弱いと判断されたら、何も良いことはありません。 米国の文献から、次のような一節を引用している。
企業がよく設計されたコンプライアンス プログラムを持っているかどうかを検察官が評価する際の出発点は、商業的観点からその企業のビジネスを理解し、その企業がどのようにリスク プロファイルを識別、評価、定義してきたかである…
役員たちがそのリスクとは何かを話していない場合、企業はそのリスク プロファイルを識別、評価、定義できず、リスク報告はその議論の基本です。
What a Risk Report Should include
上で述べたように、リスク報告書は、最も重要なリスクと新たなリスクを取り上げるべきです。 たとえば、報告書では、新しい市場に拡大する際のデータ プライバシー規則や、政府契約の入札を開始する際の政府契約規則などを取り上げることができます。 コンプライアンス担当者は、腐敗防止の実施についても常に心配するものです。 あなたの会社の日常業務の変化が、あなたの会社が常に持っていた長年のリスクの性質をどのように変えるかもしれないかを考えてみてください。 たとえば、新たな重要なリスクの 1 つは、従業員が自宅で仕事をするようになることです。これは、詐欺、サイバーセキュリティ、およびハラスメントのリスクを、これらの問題を管理する実際の法律や規制を変更しなくても、根本的に変える可能性があります。 業務のシフトにより、既存のポリシーやコントロールが目下のリスクに対して不十分となることがありますが、これはリスク報告書に記載すべきことです。
在宅勤務の例では、もうひとつ重要な点が指摘されています。 例えば、在宅勤務のシフトは、COVID-19危機のために起こっています。 同じように、世界中の新しい貿易政策が制裁リスクを生むかもしれませんし、合併が反トラスト法リスクを生むかもしれません。 起こりうる新興リスクや重要リスクをより広く定義すればするほど、報告書に記載すべき実際の新興リスクや重要リスクをよりよく特定することができるようになる。
リスク報告書で扱うべきこと
報告書のすべてのリスクは、その潜在的な影響についての議論を含む必要があります。 それは、上級管理者や取締役が、リスクにどのように対処すべきかを決定する際に理解したいことだからです。
私たちは「影響」をいくつかの線に沿って定義することができます。
- 財務:規制当局による強制措置の一環としての金銭的罰則、その調査に関連する人材や設備コスト(外部の弁護士、新しい技術など)、収益や利益の損失
- 業務:リスクが販売できない在庫、使用できない工場、必要時に機能しないビジネスプロセスなどにつながるか
- 戦略的:リスクは、そのリスクによって、販売できない在庫が生じる可能性があるかどうか、使用できない工場があるかどうかなど、そのリスクは、販売できない在庫が生じる可能性があるかどうかなど、そのリスクは、販売できないリスクがあるかどうか、使用できない工場があるかどうかなど、そのリスクは、販売できない工場があるかどうかなど、そのリスクは、販売できないリスクがあるかどうかなど。 戦略的:あるリスクが特定の長期的な選択肢を阻害する可能性があるかどうか、例えば、合併対象企業の買収や新製品の開発のために、会社に現金が少なすぎる状態になるかどうか
- レピュテーション:あるリスクが顧客、消費者、ビジネスパートナーからの企業評価を損なうかどうか
すべてのリスクで上記のすべてのポイントを完全に検討する必要はありませんが、コンプライアンスの責任者は少なくともこれらの変数と、検討しているリスクに最も関連しているものを検討する必要があります。
報告書では、コンプライアンス・プログラムが問題のリスクにどのように対処しようとしているのかを探る必要があります。 例えば、会社の既存のポリシーとコントロールが望ましい結果を生み出しているかどうか、あるいは、リスクを管理するためのコントロールにどのような弱点があるかを述べる。 また、コントロールの弱点を解決するための行動のタイムライン、リスクの所有者を特定し、必要であれば取締役会や経営陣の指導を仰ぐことも必要です。
How to Create an Effective Risk Report?
あなたの報告書が、本当に含まれるべきリスクをすべて特定したと仮定しましょう。 このとき、本当の脅威は、レポートがあまりにも多くの情報を提示しすぎて、読者が圧倒されたり、何をしたらよいかわからなくなったりするような形になってしまうことです。 効果的なリスク報告書は、内容に加えて、焦点と構造が重要なのです。
例えば、リスク報告書は読みやすく、消化しやすいものであるべきです。 つまり、リスクとそれが報告書に含まれる理由のエグゼクティブサマリーに続き、各リスクとその裏付けとなるデータについて深く掘り下げるのです。 サマリーの長さは様々ですが、目安として、10ページを超えるものは長すぎる傾向にあります。
エグゼクティブサマリーの後は、詳細の説明に入りますが、これは膨大な量になるかもしれません。 ここには、裏付けとなるデータ (データ視覚化ツールのチャートやグラフィックを使えば使うほどよい)、監査レポート、ケース ヒストリー、コスト予測などを含めることができます。 電子フォーマットでは、読者が要約から詳細な議論に飛んだり戻ったりできるように、リンクを使ってリスクレポートを構成することもできます。 結局のところ、リスク報告書を読む人のほとんどは、コンプライアンスやリスクマネジメントの背景をあまり知らない、ビジネスオペレーションやマネジメント部門の人たちです。 リスクをビジネス上の目的と結びつけることで、なぜそのリスクが重要であり、注意を払う価値があるのかを読者に伝えることができるのです。
最後に、効果的な報告書は行動計画を描き、取締役会や上級管理職が答えるべき質問を投げかけます。 効果的な報告書は、リスクをコントロールするための計画が存在することを読者に安心させるか、次に何をすべきかの指針を求めることで、読者を巻き込んでいくのである。 リスク報告書は、企業のリスクマネジメントの課題の現状を把握し、今後の可能性を示すものである。
リスク報告書はそれ自体がエクササイズではありません。 コンプライアンス部門が自分の仕事をしたことを示すためのチェックボックス運動ではありません。 それは、シニアリーダーが会社を統治するという仕事をするためのツールであり、そのツールをより専門的に扱えば扱うほど、コンプライアンス・プログラムはより成功することになるのです。