Rapporten over organisatorische risico’s opstellen voor senior executives is een van de belangrijkste taken van chief compliance officers. Effectieve risicorapportage is fundamenteel voor een sterk complianceprogramma en, eerlijk gezegd, voor de carrièrezekerheid van een chief compliance officer. Het is iets wat elke compliance professional moet begrijpen en goed moet doen.
Dus laten we vandaag een stapje terug doen en de grondbeginselen bekijken: Wat is risicorapportage, en hoe maak je een effectief risicorapport?
Wat is een risicorapport?
Een risicorapport geeft informatie over de meest urgente risico’s van het bedrijf op dit moment. Doorgaans gaat het om kritieke risico’s, waarvan de gevolgen voor het bedrijf ernstig kunnen zijn, en om opkomende risico’s die in de toekomst voor grotere problemen kunnen zorgen als ze niet zorgvuldig in de gaten worden gehouden.
Meer nog, in het risicorapport moet worden besproken hoe goed de onderneming die risico’s op dat moment al dan niet beheerst. Dus het rapport zou ook materiaal kunnen bevatten over welk beleid ontoereikend is, welke controles niet zo goed werken als verwacht, of welke aanvullende stappen nodig zouden kunnen zijn om het risico binnen de tolerantieniveaus van het bedrijf te houden.
Waarom risicorapportage belangrijk is
Voor alles is beleid ontoereikend is belangrijk omdat het de taak van de raad van bestuur is om de effectiviteit van risicobeheersystemen te controleren – en de raad (specifiek het auditcomité) kan dat niet goed doen zonder te begrijpen wat de risico’s van het bedrijf eigenlijk zijn. Auditcomités die het toezicht op het risicobeheer nonchalant aanpakken, schenden hun fiduciaire plichten volgens de wet en kunnen voor de rechtbank gedaagd worden. Het is dus geen verrassing dat auditcomités graag een competente, effectieve risicorapportage zien.
Risicorapportage is ook belangrijk omdat het de raad helpt strategisch advies te geven. Uw risicorapportage kan bijvoorbeeld waarschuwen voor een hoog risico op corruptie als het bedrijf uitbreidt naar opkomende markten. Dat rapport kan de raad van bestuur ertoe aanzetten te heroverwegen of uitbreiding verstandig is, of alternatieve prijsstrategieën, of een andere maatregel. Hoe dan ook, het risicorapport is het ruwe materiaal dat de raad van bestuur gebruikt om over die keuzes na te denken.
Intussen zal het managementteam zich op risicorapporten baseren om te begrijpen hoe het zijn activiteiten zou moeten veranderen om op een meer risicobewuste manier zaken te doen. Stel dat de directie besluit dat uitbreiding naar opkomende markten noodzakelijk is. Het is dan aan het management om te beslissen hoe die doelstelling kan worden bereikt. Een gedegen risicorapport helpt senior managers te begrijpen hoe ze hun beleid inzake uitgaven voor geschenken en entertainment, of incentive-compensatie voor het behalen van verkoopquota, of due diligence-systemen voor onderzoek naar overzeese klanten moeten aanpassen.
Effectieve risicorapportage is ook belangrijk voor regelgevende instanties. Mochten zij ooit uw bedrijf bezoeken om het gedrag of het nalevingsprogramma te beoordelen en een zwak vermogen aantreffen om risico’s te melden en te bespreken, dan komt daar niets goeds van. Kijk eens naar deze passage uit de richtlijnen van het Amerikaanse Justice Department’s guidance on evaluating compliance programs:
Het uitgangspunt voor de evaluatie van een aanklager of een bedrijf een goed ontworpen compliance-programma heeft, is het begrijpen van de activiteiten van het bedrijf vanuit een commercieel perspectief, hoe het bedrijf zijn risicoprofiel heeft geïdentificeerd, beoordeeld en gedefinieerd…
Een bedrijf kan zijn risicoprofiel niet identificeren, beoordelen en definiëren als leidinggevenden niet praten over wat die risico’s zijn, en een risicorapport is van fundamenteel belang voor die discussie.
Wat een risicorapport moet bevatten
Zoals we hierboven al zeiden, moet uw risicorapport de meest kritieke risico’s behandelen, evenals opkomende risico’s.
Compliance officers zullen natuurlijk geneigd zijn om zich te concentreren op kritieke of opkomende wettelijke nalevingsrisico’s, en dat is een prima plek om te beginnen. Uw rapport kan bijvoorbeeld ingaan op de privacyregels voor gegevens als u zich uitbreidt naar nieuwe markten, of op de regels voor overheidscontracten als u begint in te schrijven op overheidscontracten. Compliance officers zullen zich ook altijd zorgen maken over de handhaving van anti-corruptie.
Denk hier ruim. Bedenk hoe veranderingen in de routinematige activiteiten van uw bedrijf de aard kunnen veranderen van risico’s die uw bedrijf altijd al heeft gehad. Een opkomend en kritisch risico zou bijvoorbeeld kunnen zijn dat werknemers steeds meer vanuit huis werken, waardoor uw risico’s op fraude, cyberbeveiliging en intimidatie radicaal zouden kunnen veranderen, zonder dat de feitelijke wet- en regelgeving op deze punten verandert. Soms zal een verschuiving in de activiteiten het bestaande beleid en de bestaande controles ontoereikend maken voor de risico’s in kwestie, en dat is iets om in een risicorapport op te nemen.
Het voorbeeld van thuiswerken roept een ander belangrijk punt op: Zijn er externe omstandigheden die veranderen, die de veronderstellingen in uw risicobeheerprogramma in twijfel trekken?
Zo vindt de verschuiving van het thuiswerken plaats als gevolg van de COVID-19-crisis. Een nieuw handelsbeleid in de wereld kan sanctierisico’s met zich meebrengen; een fusie kan antitrustrisico’s met zich meebrengen. Hoe ruimer u de mogelijke opkomende of kritieke risico’s definieert, hoe beter u in staat zult zijn de werkelijke opkomende of kritieke risico’s te identificeren die in uw verslag moeten worden opgenomen.
Wat een risicorapport moet behandelen
Elk risico in het rapport moet een bespreking van de potentiële impact ervan bevatten. Dat is wat senior executives en bestuursleden willen begrijpen als ze beslissen hoe het risico moet worden aangepakt.
We kunnen “impact” langs verschillende lijnen definiëren:
- Financieel: geldboetes als onderdeel van een regelgevende handhavingsactie; gerelateerde kosten voor mankracht of apparatuur voor dat onderzoek (externe adviseurs, nieuwe technologie, enzovoort); gederfde inkomsten of winst
- Operationeel: of een risico zou kunnen leiden tot voorraad die niet kan worden verkocht, fabrieken die niet kunnen worden gebruikt, bedrijfsprocessen die mogelijk niet werken wanneer dat nodig is, enzovoort
- Strategisch: Of een risico bepaalde langetermijnopties zou kunnen dwarsbomen, zoals het verlaten van het bedrijf met te weinig contant geld om fusiedoelwitten te verwerven of nieuwe producten te ontwikkelen
- Reputationeel: Kan een risico de bedrijfsreputatie bij klanten, consumenten of zakenpartners schaden
Niet elk risico vereist een volledige bespreking van elk punt hierboven, maar compliance officers moeten op zijn minst deze variabelen overwegen, en welke het meest relevant zijn voor het risico dat u bespreekt.
Het rapport moet onderzoeken hoe het compliance-programma het risico in kwestie probeert aan te pakken. Geef bijvoorbeeld aan of het bestaande beleid en de bestaande controles van het bedrijf de gewenste resultaten opleveren; of welke zwakke punten er zijn in de controles die bedoeld zijn om het risico te beheersen. De bespreking moet ook een tijdschema voor actie omvatten om eventuele zwakke punten in de controle op te lossen, de eigenaar van het risico identificeren, en vragen om advies van de raad van bestuur of het management als dat nodig is.
Hoe maak je een effectief risicorapport?
Laten we aannemen dat uw rapport alle risico’s heeft geïdentificeerd die echt moeten worden opgenomen. Op dat moment bestaat het gevaar dat het rapport te veel informatie bevat, waardoor de lezer wordt overweldigd of in verwarring raakt over wat hij moet doen. Bij een doeltreffend risicorapport gaat het niet alleen om de inhoud, maar ook om de focus en de structuur.
Het risicorapport moet bijvoorbeeld gemakkelijk te lezen en te verteren zijn. Dat betekent een samenvatting van de risico’s en waarom ze zijn opgenomen in het rapport, gevolgd door een diepgaande bespreking van elk risico en uw ondersteunende gegevens. De lengte van de samenvatting kan variëren, maar als vuistregel geldt dat een samenvatting van meer dan 10 pagina’s te lang wordt.
Na die samenvatting, kunt u in de details duiken – die volumineus kunnen zijn. Hier kunt u ondersteunende gegevens opnemen (hoe meer u diagrammen of grafieken van datavisualisatieprogramma’s gebruikt, hoe beter), auditrapporten, casestudy’s, kostenramingen, enzovoort. In elektronische vorm kunt u uw risicorapport zelfs structureren met links, zodat de lezer heen en weer kan springen van de samenvatting naar de diepgaande bespreking.
Een effectief rapport koppelt elk risico ook duidelijk aan een verklaarde bedrijfsdoelstelling. De meeste mensen die het risicorapport lezen, zullen immers afkomstig zijn uit de bedrijfsvoering of managementfuncties, zonder veel achtergrond in compliance of risicobeheer. Door het risico aan een bedrijfsdoelstelling te koppelen, weet de lezer waarom het risico belangrijk is en zijn of haar aandacht waard.
Ten slotte wordt in een effectief rapport een actieplan uitgestippeld of worden vragen gesteld die door de raad van bestuur of het senior management moeten worden beantwoord. Een doeltreffend verslag betrekt de lezer erbij, hetzij door hem of haar gerust te stellen dat er een plan bestaat om het risico onder controle te brengen, hetzij door hem of haar te vragen advies te geven over wat er nu moet gebeuren. Een risicorapport geeft de huidige stand van zaken weer met betrekking tot de uitdagingen van een onderneming op het gebied van risicobeheer en schetst mogelijke wegen voor de toekomst.
Wat een risicorapport niet is, is een oefening op zich. Het is geen check-the-box oefening om aan te tonen dat de compliance-functie haar werk heeft gedaan. Het is een hulpmiddel om senior leiders te helpen bij hun taak om het bedrijf te besturen – en hoe deskundiger u met dat hulpmiddel omgaat, hoe succesvoller uw compliance-programma zal zijn.