Redactarea rapoartelor privind riscurile organizaționale pentru a fi luate în considerare de către directorii executivi este una dintre cele mai importante îndatoriri pe care le au directorii de conformitate. Raportarea eficientă a riscurilor este fundamentală pentru un program de conformitate puternic – și, sincer, pentru securitatea carierei unui director de conformitate. Este ceva ce fiecare profesionist în domeniul conformității trebuie să înțeleagă și să facă bine.
Așa că astăzi să facem un pas înapoi și să trecem în revistă elementele fundamentale: Ce este raportarea riscurilor și cum se creează un raport de risc eficient?
Ce este un raport de risc?
Un raport de risc transmite informații despre cele mai presante riscuri ale companiei în acest moment. De obicei, acesta va aborda riscurile critice, în cazul cărora consecințele pentru firmă ar putea fi grave; precum și riscurile emergente care ar putea cauza probleme mai mari în viitor dacă nu sunt monitorizate cu atenție.
Mai mult, raportul de risc ar trebui să discute cât de bine gestionează sau nu gestionează compania aceste riscuri în acel moment. Astfel, raportul ar putea include, de asemenea, materiale despre ce politici sunt insuficiente, ce controale nu funcționează atât de bine pe cât se așteaptă sau ce măsuri suplimentare ar putea fi necesare pentru a menține riscul în limitele de toleranță ale companiei.
De ce este importantă raportarea riscurilor
În primul rând, faptul că politicile sunt insuficiente este important deoarece sarcina consiliului de administrație este de a monitoriza eficacitatea sistemelor de gestionare a riscurilor – iar consiliul (în special comitetul de audit) nu poate face acest lucru bine fără a înțelege care sunt riscurile reale ale companiei. Comitetele de audit care adoptă o abordare lipsită de vigilență în ceea ce privește supravegherea gestionării riscurilor își încalcă îndatoririle fiduciare prevăzute de lege și se pot confrunta cu procese în instanță. Așadar, nu este surprinzător faptul că comitetele de audit doresc să vadă o raportare competentă și eficientă a riscurilor.
Raportarea riscurilor este importantă și pentru că ajută consiliul de administrație să ofere consiliere strategică. De exemplu, raportul dvs. de risc ar putea avertiza cu privire la un risc ridicat de corupție în cazul în care compania se extinde pe piețele emergente. Acest raport ar putea determina consiliul de administrație să reconsidere dacă expansiunea este înțeleaptă, sau strategii alternative de stabilire a prețurilor, sau o altă mișcare. În orice caz, raportul de risc este materia primă pe care consiliul de administrație o folosește pentru a reflecta asupra acestor alegeri.
Între timp, echipa de conducere se va baza pe rapoartele de risc pentru a înțelege cum ar putea fi nevoie să schimbe operațiunile pentru a face afaceri într-o manieră mai atentă la riscuri. Să spunem că consiliul de administrație decide că este necesară extinderea pe piețele emergente. Apoi, revine conducerii sarcina de a decide cum să atingă acest obiectiv. Un raport de risc amănunțit îi va ajuta pe directorii executivi să înțeleagă modul în care ar putea fi nevoie să actualizeze politicile privind cadourile și cheltuielile de divertisment, sau compensațiile de stimulare pentru atingerea cotelor de vânzări, sau sistemele de due diligence pentru cercetarea clienților din străinătate.
Raportarea eficientă a riscurilor este importantă și pentru autoritățile de reglementare. În cazul în care acestea vizitează vreodată compania dvs. pentru a examina conduita acesteia sau programul de conformitate și constată o capacitate slabă de raportare și discutare a riscurilor, nimic bun nu iese din asta. Luați în considerare acest pasaj din legislația americană Justice Department’s guidance on evaluating compliance programs:
Punctul de plecare pentru evaluarea de către un procuror a faptului dacă o companie are un program de conformitate bine conceput este de a înțelege activitatea companiei din punct de vedere comercial, modul în care compania și-a identificat, evaluat și definit profilul de risc…
O companie nu poate identifica, evalua și defini profilul de risc dacă directorii nu vorbesc despre care sunt aceste riscuri – iar un raport de risc este fundamental pentru această discuție.
Ce ar trebui să includă un raport de risc
Așa cum am menționat mai sus, raportul dvs. de risc ar trebui să abordeze riscurile cele mai critice, precum și riscurile emergente.
Ofițerii de conformitate vor tinde în mod natural să se concentreze asupra riscurilor critice sau emergente de conformitate cu reglementările, iar acesta este un loc perfect bun pentru a începe. De exemplu, raportul dvs. ar putea aborda regulile de confidențialitate a datelor în momentul în care vă extindeți pe noi piețe, sau regulile de contractare guvernamentală dacă începeți să licitați pentru contracte guvernamentale. Ofițerii de conformitate vor fi întotdeauna îngrijorați și de aplicarea legii anticorupție.
Gândiți în mod extins aici. Luați în considerare modul în care schimbările în operațiunile de rutină ale companiei dvs. ar putea schimba natura riscurilor de lungă durată pe care compania dvs. le-a avut întotdeauna. De exemplu, un risc emergent și critic ar putea fi trecerea la angajații care lucrează de acasă – ceea ce ar putea schimba radical riscurile dvs. de fraudă, de securitate cibernetică și de hărțuire, fără nicio schimbare în legile și reglementările reale care reglementează aceste aspecte. Uneori, o schimbare în operațiuni va face ca politicile și controalele existente să fie insuficiente pentru riscurile în cauză, iar acesta este un aspect care trebuie inclus într-un raport de risc.
Exemplul muncii de acasă atrage atenția asupra unui alt aspect important: Există condiții externe care se schimbă, care pun la îndoială ipotezele din programul dumneavoastră de gestionare a riscurilor?
De exemplu, schimbarea de lucru de la domiciliu are loc din cauza crizei COVID-19. În mod similar, noile politici comerciale din întreaga lume ar putea crea riscuri de sancțiuni; o fuziune ar putea crea riscuri antitrust. Cu cât definiți mai pe larg posibilele riscuri emergente sau critice, cu atât mai bine veți putea identifica riscurile emergente sau critice reale care ar trebui să intre în raportul dumneavoastră.
Ce ar trebui să abordeze un raport de risc
Care risc din raport ar trebui să includă o discuție despre impactul său potențial. Aceasta este ceea ce doresc să înțeleagă directorii executivi de rang înalt și directorii consiliului de administrație, în timp ce decid cum ar trebui abordat riscul.
Putem defini „impactul” de-a lungul mai multor linii:
- Financiar: sancțiuni pecuniare în cadrul unei acțiuni de punere în aplicare a reglementărilor; costuri aferente cu forța de muncă sau cu echipamentele pentru acea investigație (consilieri externi, tehnologie nouă și așa mai departe); pierderi de venituri sau profituri
- Operațional: dacă un risc ar putea duce la stocuri care nu pot fi vândute, fabrici care nu pot fi folosite, procese de afaceri care ar putea să nu funcționeze atunci când este necesar și așa mai departe
- Strategic: dacă un risc ar putea zădărnici anumite opțiuni pe termen lung, cum ar fi lăsarea companiei cu prea puțini bani pentru a achiziționa obiective de fuziune sau pentru a dezvolta noi produse
- Reputațional: un risc ar putea afecta reputația companiei în rândul clienților, consumatorilor sau partenerilor de afaceri
Nu fiecare risc necesită o discuție completă a fiecărui punct de mai sus, dar ofițerii de conformitate ar trebui să ia în considerare cel puțin aceste variabile și care dintre ele sunt cele mai relevante pentru riscul pe care îl discutați.
Raportul ar trebui să exploreze modul în care programul de conformitate încearcă să abordeze riscul în cauză. De exemplu, precizați dacă politicile și controalele existente ale companiei produc rezultatele dorite; sau ce deficiențe există în controalele menite să reglementeze riscul. Discuția ar trebui să includă, de asemenea, un calendar de acțiune pentru rezolvarea oricăror deficiențe de control pe care le aveți, să identifice proprietarul riscului și să solicite orice îndrumare din partea consiliului de administrație sau a conducerii, dacă acest lucru este necesar.
Cum să creați un raport de risc eficient?
Să presupunem că raportul dumneavoastră a identificat toate riscurile care ar trebui cu adevărat să fie incluse. În acest moment, adevărata amenințare este că raportul prezintă prea multe informații, într-un mod care îl lasă pe cititor copleșit sau confuz cu privire la ce trebuie să facă. Un raport de risc eficient ține de concentrare și structură, pe lângă conținut.
De exemplu, raportul de risc ar trebui să fie ușor de citit și de digerat. Asta înseamnă un rezumat executiv al riscurilor și motivul pentru care acestea sunt incluse în raport, urmat de discuții aprofundate despre fiecare risc și despre datele dvs. justificative. Lungimea rezumatului poate varia, dar, ca regulă generală, orice rezumat care depășește 10 pagini se îndreaptă spre o lungime prea mare.
După acest rezumat executiv, vă puteți scufunda în detalii – care ar putea fi voluminoase. Aici puteți include date justificative (cu cât folosiți mai multe diagrame sau grafice din instrumente de vizualizare a datelor, cu atât mai bine), rapoarte de audit, istorii de caz, proiecții de costuri și așa mai departe. În format electronic, puteți chiar să vă structurați raportul de risc cu linkuri pentru a permite cititorului să treacă de la rezumat la o discuție aprofundată.
Un raport eficient leagă, de asemenea, în mod clar fiecare risc de un obiectiv de afaceri declarat. La urma urmei, majoritatea persoanelor care citesc raportul de risc vor proveni din operațiuni de afaceri sau funcții de management, fără prea multe cunoștințe în domeniul conformității sau al gestionării riscurilor. Conectarea riscului la un obiectiv de afaceri îi spune cititorului de ce riscul este important și merită atenția sa.
În cele din urmă, un raport eficient trasează un plan de acțiune sau pune întrebări la care consiliul de administrație sau conducerea superioară trebuie să răspundă. Un raport eficient îl implică pe cititor, fie asigurându-l că există un plan pentru a aduce riscul sub control, fie solicitând îndrumări cu privire la ceea ce trebuie făcut în continuare. Un raport de risc surprinde stadiul actual al provocărilor legate de gestionarea riscurilor unei companii și trasează posibile căi de urmat.
Ce nu este un raport de risc este un exercițiu în sine. Nu este un exercițiu de bifare a căsuței pentru a arăta că funcția de conformitate și-a făcut treaba. Este un instrument care îi ajută pe liderii seniori să își facă treaba de a guverna compania – și cu cât manevrați acest instrument cu mai multă expertiză, cu atât mai mult succes va avea programul dumneavoastră de conformitate.