Przygotowywanie raportów o ryzyku organizacyjnym do rozważenia przez kierownictwo wyższego szczebla jest jednym z najważniejszych obowiązków dyrektora ds. zgodności. Skuteczne raportowanie ryzyka ma fundamentalne znaczenie dla silnego programu zgodności i, szczerze mówiąc, dla bezpieczeństwa kariery zawodowej dyrektora ds. zgodności. Jest to coś, co każdy specjalista ds. zgodności musi zrozumieć i dobrze wykonywać.
Dlatego dziś cofnijmy się i przeanalizujmy podstawy: Czym jest raportowanie ryzyka i jak stworzyć skuteczny raport ryzyka?
Co to jest raport na temat ryzyka?
Raport na temat ryzyka przekazuje informacje o najbardziej palących zagrożeniach dla firmy w danym momencie. Zazwyczaj dotyczy on ryzyk krytycznych, których konsekwencje dla firmy mogą być tragiczne, a także ryzyk pojawiających się, które mogą spowodować większe problemy w przyszłości, jeśli nie będą uważnie monitorowane.
Co więcej, raport na temat ryzyka powinien omawiać, jak dobrze firma zarządza lub nie zarządza tymi ryzykami w danym momencie. Tak więc raport może również zawierać materiały dotyczące tego, które polityki są niewystarczające, które kontrole nie działają tak dobrze, jak oczekiwano, lub jakie dodatkowe kroki mogą być konieczne, aby utrzymać ryzyko w granicach tolerancji firmy.
Dlaczego raportowanie ryzyka jest ważne
Przede wszystkim, polityka jest niewystarczająca jest ważna, ponieważ zadaniem rady dyrektorów jest monitorowanie skuteczności systemów zarządzania ryzykiem – a rada (a konkretnie komisja rewizyjna) nie może tego robić dobrze bez zrozumienia, jakie są faktyczne ryzyka firmy. Komitety audytu, które przyjmują beztroskie podejście do nadzoru nad zarządzaniem ryzykiem, naruszają swoje obowiązki powiernicze wynikające z przepisów prawa i mogą zostać pozwane do sądu. Nie jest więc zaskoczeniem, że komitety audytu lubią widzieć kompetentne, skuteczne raportowanie ryzyka.
Sprawozdawczość na temat ryzyka jest ważna również dlatego, że pomaga radzie nadzorczej w udzielaniu strategicznych porad. Na przykład raport na temat ryzyka może ostrzegać o wysokim ryzyku korupcji w przypadku ekspansji spółki na rynki wschodzące. Taki raport może skłonić zarząd do ponownego rozważenia, czy ekspansja jest mądra, czy też alternatywne strategie cenowe lub inne posunięcia. Niezależnie od tego, raport o ryzyku jest surowcem, który zarząd wykorzystuje do rozważenia tych wyborów.
W międzyczasie zespół zarządzający będzie polegał na raportach dotyczących ryzyka, aby zrozumieć, w jaki sposób może być potrzebna zmiana operacji w celu prowadzenia działalności w sposób bardziej świadomy ryzyka. Załóżmy, że zarząd zdecyduje, że ekspansja na rynki wschodzące jest konieczna. Następnie do zarządu należy decyzja, w jaki sposób osiągnąć ten cel. Dokładny raport na temat ryzyka pomoże kierownictwu zrozumieć, w jaki sposób może być konieczna aktualizacja polityki dotyczącej prezentów i wydatków na rozrywkę, wynagrodzenia motywacyjnego za osiągnięcie limitów sprzedaży lub systemów due diligence do badania klientów zagranicznych.
Efektywne raportowanie ryzyka jest również ważne dla organów regulacyjnych. Jeśli kiedykolwiek odwiedzą oni Twoją firmę w celu dokonania przeglądu jej postępowania lub programu zgodności i stwierdzą słabą zdolność do zgłaszania i omawiania ryzyka, nic dobrego z tego nie wyniknie. Rozważcie ten fragment z wytycznych Departamentu Sprawiedliwości USA. Punktem wyjścia do oceny przez prokuratora tego, czy firma ma dobrze opracowany program zgodności, jest zrozumienie działalności firmy z perspektywy handlowej, sposobu, w jaki firma zidentyfikowała, oceniła i zdefiniowała swój profil ryzyka…
Firma nie może zidentyfikować, ocenić i zdefiniować swojego profilu ryzyka, jeśli kierownictwo nie rozmawia o tym, czym są te ryzyka – a raport o ryzyku ma fundamentalne znaczenie dla tej dyskusji.
Co powinien zawierać raport na temat ryzyka
Jak wspomnieliśmy powyżej, raport na temat ryzyka powinien dotyczyć najbardziej krytycznych ryzyk, jak również ryzyk pojawiających się.
Organy ds. zgodności z przepisami w naturalny sposób skupiają się na krytycznych lub pojawiających się ryzykach związanych ze zgodnością z przepisami i jest to bardzo dobre miejsce na początek. Na przykład, Twój raport może dotyczyć zasad prywatności danych, ponieważ rozszerzasz działalność na nowe rynki, lub zasad kontraktacji rządowej, jeśli zaczynasz składać oferty w przetargach rządowych. Osoby odpowiedzialne za zgodność z przepisami zawsze będą się również martwić o egzekwowanie przepisów antykorupcyjnych.
Myśl tutaj szeroko. Zastanów się, jak zmiany w rutynowych działaniach Twojej firmy mogą zmienić charakter długotrwałego ryzyka, które zawsze istniało w Twojej firmie. Na przykład, jednym z pojawiających się i krytycznych ryzyk może być przejście na pracowników pracujących w domu – co może radykalnie zmienić ryzyko oszustwa, bezpieczeństwa cybernetycznego i molestowania, bez żadnych zmian w prawie i przepisach, które regulują te kwestie. Czasami zmiana w działalności spowoduje, że istniejące polityki i mechanizmy kontroli okażą się niewystarczające dla danego ryzyka, co należy uwzględnić w raporcie na temat ryzyka.
Przykład pracy w domu zwraca uwagę na inną ważną kwestię: Czy zmieniają się jakieś warunki zewnętrzne, które podważają założenia programu zarządzania ryzykiem?
Na przykład, zmiana polegająca na pracy w domu ma miejsce z powodu kryzysu COVID-19. Podobnie, nowe polityki handlowe na świecie mogą powodować ryzyko sankcji; fuzja może powodować ryzyko antymonopolowe. Im szerzej zdefiniujesz możliwe pojawiające się lub krytyczne ryzyka, tym lepiej będziesz w stanie określić rzeczywiste pojawiające się lub krytyczne ryzyka, które powinny znaleźć się w raporcie.
Czego powinien dotyczyć raport na temat ryzyka
Każde ryzyko w raporcie powinno zawierać omówienie jego potencjalnego wpływu. To właśnie chcą zrozumieć kierownicy wyższego szczebla i dyrektorzy zarządu, którzy decydują o tym, w jaki sposób należy zająć się ryzykiem.
Możemy zdefiniować „wpływ” na kilka sposobów:
Finansowy: kary pieniężne w ramach działań związanych z egzekwowaniem przepisów; powiązane koszty siły roboczej lub sprzętu w ramach tego dochodzenia (doradcy zewnętrzni, nowa technologia i tak dalej); utracone przychody lub zyski
Operacyjny: czy ryzyko może prowadzić do zapasów, których nie można sprzedać, fabryk, których nie można wykorzystać, procesów biznesowych, które mogą nie działać w razie potrzeby i tak dalej
Strategiczny: czy ryzyko może udaremnić pewne opcje długoterminowe, takie jak pozostawienie firmy ze zbyt małą ilością gotówki na przejęcie celów fuzji lub opracowanie nowych produktów
Renoma: czy ryzyko może zaszkodzić reputacji firmy wśród klientów, konsumentów lub partnerów biznesowych
Nie każde ryzyko wymaga pełnego omówienia każdego z powyższych punktów, ale osoby odpowiedzialne za zgodność powinny przynajmniej rozważyć te zmienne oraz to, które z nich są najbardziej istotne dla omawianego ryzyka.
Raport powinien badać, w jaki sposób program zgodności próbuje zająć się danym ryzykiem. Na przykład, należy stwierdzić, czy istniejące polityki i kontrole firmy przynoszą pożądane rezultaty; lub jakie słabości istnieją w kontrolach mających na celu regulowanie ryzyka. Dyskusja powinna również zawierać harmonogram działań mających na celu rozwiązanie wszelkich słabości kontroli, zidentyfikowanie właściciela ryzyka oraz prośbę o wskazówki od rady nadzorczej lub zarządu, jeśli jest to konieczne.
Jak stworzyć skuteczny raport na temat ryzyka?
Załóżmy, że Twój raport zidentyfikował wszystkie ryzyka, które naprawdę powinny zostać uwzględnione. W tym momencie prawdziwym zagrożeniem jest to, że raport przedstawia zbyt wiele informacji w sposób, który sprawia, że czytelnik jest przytłoczony lub zdezorientowany, co powinien zrobić. W skutecznym raporcie na temat ryzyka oprócz treści liczy się także skupienie i struktura.
Na przykład, raport na temat ryzyka powinien być łatwy do przeczytania i przyswojenia. Oznacza to streszczenie ryzyka i powodów jego uwzględnienia w raporcie, a następnie dogłębne omówienie każdego ryzyka i danych potwierdzających. Długość streszczenia może być różna, ale z reguły każde streszczenie, które przekracza 10 stron, jest zbyt długie.
Po tym streszczeniu, możesz zanurzyć się w szczegółach – które mogą być obszerne. To jest, gdzie można dołączyć dane pomocnicze (im więcej używasz wykresów lub grafiki z narzędzi do wizualizacji danych, tym lepiej), raporty z audytu, historie przypadków, prognozy kosztów i tak dalej. W formacie elektronicznym można nawet ustrukturyzować raport o ryzyku za pomocą linków, aby czytelnik mógł przeskakiwać tam i z powrotem od podsumowania do dogłębnej dyskusji.
Skuteczny raport również wyraźnie wiąże każde ryzyko z określonym celem biznesowym. W końcu większość osób czytających raport o ryzyku będzie wywodzić się z operacji biznesowych lub funkcji zarządczych, bez większego doświadczenia w zakresie zgodności lub zarządzania ryzykiem. Powiązanie ryzyka z celem biznesowym mówi czytelnikowi, dlaczego ryzyko ma znaczenie i jest warte jego uwagi.
Na koniec, skuteczny raport nakreśla plan działania lub stawia pytania, na które musi odpowiedzieć zarząd lub kierownictwo wyższego szczebla. Skuteczny raport angażuje czytelnika, upewniając go, że istnieje plan, który pozwoli na opanowanie ryzyka, lub zachęcając do udzielenia wskazówek, co należy zrobić dalej. Raport na temat ryzyka przedstawia stan wyzwań związanych z zarządzaniem ryzykiem w firmie w danym momencie i nakreśla potencjalne drogi naprzód.
Raport na temat ryzyka nie jest ćwiczeniem samym w sobie. Nie jest to ćwiczenie typu check-the-box, które ma pokazać, że jednostka ds. zgodności wykonała swoją pracę. Jest to narzędzie, które ma pomóc liderom wyższego szczebla w wykonywaniu ich zadań związanych z zarządzaniem firmą – a im bardziej fachowo posługujesz się tym narzędziem, tym większy sukces odniesie Twój program zgodności.
