Att utarbeta rapporter om organisatoriska risker för högre chefer är en av de viktigaste uppgifterna för chefer för regelefterlevnad. Effektiv riskrapportering är grundläggande för ett starkt program för regelefterlevnad – och, uppriktigt sagt, för en chefs regelefterlevnadsansvarigs karriärsäkerhet. Det är något som varje compliance-proffs måste förstå och göra bra.
Så i dag ska vi ta ett steg tillbaka och se över grunderna: Vad är riskrapportering och hur skapar man en effektiv riskrapport?
Vad är en riskrapport?
En riskrapport förmedlar information om företagets mest angelägna risker för tillfället. Vanligtvis tar den upp kritiska risker, där konsekvenserna för företaget kan bli ödesdigra, samt nya risker som kan orsaka större problem i framtiden om de inte övervakas noggrant.
För övrigt bör riskrapporten diskutera hur väl företaget hanterar eller inte hanterar dessa risker för tillfället. Rapporten kan alltså också innehålla material om vilka riktlinjer som är otillräckliga, vilka kontroller som inte fungerar så bra som förväntat eller vilka ytterligare åtgärder som kan vara nödvändiga för att hålla risken inom företagets toleransnivåer.
Varför riskrapportering är viktig
Först och främst är policys är otillräckliga viktigt eftersom styrelsens uppgift är att övervaka riskhanteringssystemens effektivitet – och styrelsen (särskilt revisionskommittén) kan inte göra det på ett bra sätt om den inte förstår vad företagets risker faktiskt är. Revisionskommittéer som intar en nonchalant hållning till övervakningen av riskhanteringen bryter mot sina förtroendeuppdrag enligt lagen och kan drabbas av stämningar i domstol. Det är därför ingen överraskning att revisionskommittéerna vill se en kompetent och effektiv riskrapportering.
Riskrapportering är också viktig eftersom den hjälper styrelsen att ge strategiska råd. Din riskrapport kan till exempel varna för en hög risk för korruption om företaget expanderar till tillväxtmarknader. Den rapporten kan få styrelsen att ompröva om det är klokt att expandera, eller alternativa prissättningsstrategier, eller någon annan åtgärd. Oavsett vilket är riskrapporten det råmaterial som styrelsen använder för att fundera över dessa val.
Under tiden kommer ledningsgruppen att förlita sig på riskrapporterna för att förstå hur den kan behöva ändra verksamheten för att göra affärer på ett mer riskmedvetet sätt. Låt oss säga att styrelsen beslutar att det är nödvändigt att expandera till tillväxtmarknader. Det faller sedan på ledningen att bestämma hur man ska uppnå detta mål. En grundlig riskrapport kommer att hjälpa företagsledningen att förstå hur de kan behöva uppdatera policyer för gåvor och nöjesutgifter, eller incitamentskompensation för att nå försäljningskvoter, eller system för due diligence för att undersöka utländska kunder.
Effektiv riskrapportering är också viktig för tillsynsmyndigheter. Om de någon gång skulle besöka ditt företag för att granska dess uppförande eller efterlevnadsprogrammet och finna en svag förmåga att rapportera och diskutera risker, kommer det inte att leda till något gott. Tänk på detta stycke från USA:s lag om tillsyn. Justitiedepartementets vägledning för utvärdering av efterlevnadsprogram:
Utgångspunkten för en åklagares utvärdering av om ett företag har ett väl utformat efterlevnadsprogram är att förstå företagets verksamhet ur ett kommersiellt perspektiv, hur företaget har identifierat, bedömt och definierat sin riskprofil…
Ett företag kan inte identifiera, bedöma och definiera sin riskprofil om cheferna inte pratar om vilka riskerna är – och en riskrapport är grundläggande för den diskussionen.
Vad en riskrapport bör innehålla
Som vi nämnde ovan bör din riskrapport ta upp de mest kritiska riskerna samt nya risker.
Compliance-ansvariga tenderar naturligtvis att fokusera på kritiska eller nya risker för regelefterlevnad, och det är en utmärkt plats att börja på. Rapporten kan till exempel ta upp regler för dataskydd när du expanderar till nya marknader, eller regler för offentliga kontrakt om du börjar lägga anbud på offentliga kontrakt. Övervakningsansvariga kommer alltid att oroa sig för tillämpningen av antikorruption också.
Tänk brett här. Tänk på hur förändringar i ditt företags rutinverksamhet kan förändra arten av långvariga risker som ditt företag alltid har haft. En ny och kritisk risk kan till exempel vara en övergång till att anställda arbetar hemifrån – vilket skulle kunna förändra dina risker för bedrägeri, cybersäkerhet och trakasserier radikalt, utan att det sker någon förändring i de faktiska lagar och förordningar som reglerar dessa frågor. Ibland kan en förändring av verksamheten leda till att befintliga policyer och kontroller inte räcker till för de aktuella riskerna, och det är något som bör tas med i en riskrapport.
Exemplet med arbete hemifrån pekar på en annan viktig punkt: Är det några externa förhållanden som förändras och som utmanar antagandena i ditt riskhanteringsprogram?
Till exempel sker skiftet med arbete hemifrån på grund av COVID-19-krisen. På liknande sätt kan ny handelspolitik runt om i världen skapa sanktionsrisker; en sammanslagning kan skapa antitrustrisker. Ju bredare du definierar möjliga framväxande eller kritiska risker, desto bättre kommer du att kunna identifiera de faktiska framväxande eller kritiska risker som bör ingå i din rapport.
Vad en riskrapport bör ta upp
Varje risk i rapporten bör innehålla en diskussion om dess potentiella konsekvenser. Det är det som högre chefer och styrelseledamöter vill förstå när de beslutar hur risken ska hanteras.
Vi kan definiera ”påverkan” på flera sätt:
- Finansiell: Penningavgifter som en del av en tillsynsåtgärd; relaterade kostnader för arbetskraft eller utrustning för denna utredning (externa jurister, ny teknik och så vidare); förlorade intäkter eller vinster
- Operativ: Om en risk kan leda till lager som inte kan säljas, fabriker som inte kan användas, affärsprocesser som kanske inte fungerar när det är nödvändigt, och så vidare
- Strategisk: Om en risk kan motverka vissa långsiktiga alternativ, t.ex. att företaget får för lite pengar för att förvärva fusionsobjekt eller utveckla nya produkter
- Reputationsmässigt: Kan en risk skada företagets rykte bland kunder, konsumenter eller affärspartner
Inte alla risker behöver en fullständig diskussion av varje punkt ovan, men complianceansvariga bör åtminstone överväga dessa variabler, och vilka som är mest relevanta för den risk ni diskuterar.
Rapporten bör utforska hur efterlevnadsprogrammet försöker hantera risken i fråga. Ange till exempel om företagets befintliga policyer och kontroller ger önskat resultat; eller vilka svagheter som finns i de kontroller som är tänkta att styra risken. Diskussionen bör också innehålla en tidslinje för åtgärder för att lösa eventuella kontrollsvagheter som ni har, identifiera ägaren till risken och be om vägledning från styrelsen eller ledningen om det är nödvändigt.
Hur skapar man en effektiv riskrapport?
Låt oss anta att din rapport har identifierat alla risker som verkligen bör ingå. Då är det verkliga hotet att rapporten presenterar för mycket information på ett sätt som gör att läsaren blir överväldigad eller förvirrad över vad han eller hon ska göra. En effektiv riskrapport handlar inte bara om innehåll utan också om fokus och struktur.
Riskrapporten bör till exempel vara lätt att läsa och smälta. Det innebär en sammanfattning av riskerna och varför de finns med i rapporten, följt av fördjupade diskussioner om varje risk och dina stödjande uppgifter. Längden på sammanfattningen kan variera, men en tumregel är att en sammanfattning som omfattar mer än 10 sidor är på väg att bli för lång.
Efter sammanfattningen kan du dyka ner i detaljerna – som kan vara omfattande. Det är här du kan inkludera stöddata (ju mer du använder diagram eller grafik från verktyg för datavisualisering, desto bättre), revisionsrapporter, fallbeskrivningar, kostnadsberäkningar och så vidare. I elektroniskt format kan du till och med strukturera din riskrapport med länkar så att läsaren kan hoppa fram och tillbaka från sammanfattningen till den fördjupade diskussionen.
En effektiv rapport knyter också tydligt varje risk till ett uttalat affärsmål. När allt kommer omkring kommer de flesta som läser riskrapporten att komma från affärsverksamheten eller ledningsfunktioner, utan någon större bakgrund inom efterlevnad eller riskhantering. Genom att koppla risken till ett affärsmål får läsaren veta varför risken är viktig och värd hans eller hennes uppmärksamhet.
Sist och slutligen kartlägger en effektiv rapport en handlingsplan eller ställer frågor som styrelsen eller den högsta ledningen måste besvara. En effektiv rapport involverar läsaren, antingen genom att försäkra honom eller henne om att det finns en plan för att få riskerna under kontroll eller genom att be om vägledning om vad som ska göras härnäst. En riskrapport beskriver hur ett företags riskhanteringsutmaningar ser ut för tillfället och visar på möjliga vägar framåt.
Vad en riskrapport inte är är en övning i sig själv. Det är inte en rutin för att visa att funktionen för regelefterlevnad har gjort sitt jobb. Det är ett verktyg för att hjälpa de högre ledarna att göra sitt jobb med att styra företaget – och ju mer skickligt du hanterar det verktyget, desto mer framgångsrikt kommer ditt program för regelefterlevnad att bli.