The Ultimate Primer for Effective Risk Reporting

Mchanismus pro zajištění toho, aby vedení, obchodní manažeři a další zainteresované strany přijímali rozhodnutí založená na informacích o rizicích a plnili povinnosti dohledu

Nakonec by měl být proces ERM považován za cyklus nebo smyčku zpětné vazby… to znamená, že nikdy neexistuje definitivní konečný bod.

Je to jako se čtyřmi ročními obdobími – nikdy neexistuje koncový bod, pouze nepřetržitá smyčka v průběhu celého roku. Podzim přechází do zimy, zima do jara, jaro do léta, zpět do podzimu a cyklus pokračuje jako po celé věky.

V předchozích článcích jsem se zabýval dalšími body smyčky ERM, jako je identifikace, hodnocení a analýza rizik, plus vývoj procesů.

V tomto článku se ponořím do posledního bodu této smyčky či cyklu – vykazování rizik.

Než budeme pokračovat dále, chci vysvětlit, že tento úvodník se nutně nebude zabývat tím, jak byste měli ve vaší organizaci připravovat zprávy o rizicích. Jak uvidíte v následujících částech, existuje mnoho faktorů specifických pro organizaci a jednotlivce, které se podílejí na efektivním hlášení rizik.

Přestože níže bude uvedeno několik příkladů, tento článek se zaměří na prvky solidního hlášení rizik a úvahy podle toho, komu je vaše hlášení (hlášení) určeno.

Bez dalších okolků vám chci na úvod poskytnout definici…

Co je to reporting rizik a proč je důležitý?

Protože se reporting rizik může v jednotlivých organizacích značně lišit, je těžké stanovit přesnou definici. Nicméně rámec COSO ERM (2017) říká o vykazování rizik toto:

Vykazování podporuje pracovníky na všech úrovních v pochopení vztahů mezi riziky, kulturou a výkonností a ve zlepšení rozhodování při stanovování strategie a cílů, řízení a každodenní činnosti.

A jak vysvětluje Norman Marks ve své knize World-Class Risk Management (…zdroj, na který budu v tomto článku více odkazovat), řízení rizik by mělo být nezbytnou součástí každodenního řízení a rozhodování organizace. Je však důležité, aby vedení a správní rada jednou za čas „bilancovaly“. Představenstvo a vrcholový management tak vědí, že organizace je na dobré cestě k dosažení svých cílů.

Kromě bilancování je vykazování rizik důležité také z právního hlediska. V dobách minulých představenstvo nemuselo o riziku nutně vědět, ale dnes představenstvo nemůže tvrdit, že o riziku, které se nakonec stalo velkým problémem, prostě nevědělo. Členové představenstva mají povinnost porozumět rizikům, kterým organizace čelí, a zajistit, aby je vedení řešilo vhodným způsobem.

Přes důležitost vykazování rizik je podle zprávy NC State University z roku 2018 State of Risk Oversight míra spokojenosti s „…povahou a rozsahem interního vykazování klíčových ukazatelů rizik, které by mohly být užitečné pro sledování vznikajících rizik vrcholovým vedením“, poměrně nízká. Více než 40 % respondentů tvrdí, že nejsou „vůbec“ nebo „minimálně“ spokojeni s kvalitou reportingu, který dostávají od svých zaměstnanců odpovědných za řízení rizik.

Proč tomu tak je?“

Dva hlavní důvody (nebojte se – podrobněji se jimi budu zabývat později):

1. Proč je tomu tak? Zpráva nemluví ke správnému publiku.

Protože nerozumíme zázemí zamýšlených příjemců ani jejich znalostem ERM, jsou zprávy o rizicích buď zahlcující (příliš podrobné), nebo tak na vysoké úrovni, že neposkytují žádné skutečné informace.

2. Zpráva je dokumentační cvičení bez vhledů.

Zpráva, která jednoduše poskytuje seznam rizik bez jakýchkoli vhledů v reálném čase a perspektiv na dosažení kritických cílů, v podstatě znamená, že zpráva o rizicích je pěkný obrázek, který dokumentuje to, co lidé již vědí. Seznamy rizik jsou také poměrně rychle zastaralé, protože každé rozhodnutí buď modifikuje stávající rizika, nebo vytváří nová.

Rizikový reporting, který jednoduše vyjmenovává rizika, je jedním z několika způsobů, jak se ERM může dostat do obávané pasti „zaškrtávání“. Členové představenstva a vedoucí pracovníci nakonec začnou v takové situaci zpochybňovat hodnotu ERM.

Skutečná zpráva o rizicích s přidanou hodnotou poskytne v reálném čase přehled a pohled na rizika pro dosažení cílů. Mít včasné informace však může být ve formálním prostředí náročné, proto buďte obezřetní, kolik času zabere shromažďování, sestavování, analýza a vykazování informací. Organizace s robustnějšími procesy ERM používají hlášení o rizicích jako odrazový můstek k dalším diskusím o strategii, zmírňování a dalších otázkách.

Obecné tipy pro hlášení o rizicích

Předtím jsem se krátce zmínil o tom, jak se potřeby hlášení o rizicích liší v závislosti na publiku. Existuje však několik obecných tipů pro reporting rizik, které zajistí, že vaše zprávy o rizicích budou použitelné a snadno konzumovatelné. Mezi tyto tipy patří:

• Struktura zprávy – Ať už ve vaší organizaci vytvoříte zprávy o rizicích jakkoli, musí být především intuitivní. Neměli byste posluchače učit, jak zprávu číst a jak podle ní postupovat. Pokud tak činíte, je zpráva příliš složitá a/nebo příliš matoucí. Zvažte také zázemí koncových uživatelů – kolik toho vědí o postupech řízení podnikových rizik? Mají spíše obchodní, technické nebo právní vzdělání?“

• Terminologie rizik – Jeden z důvodů, proč má mnoho organizací potíže s vykazováním rizik, souvisí s jazykem používaným ve zprávách. Jak vysvětluji zde, je důležité, aby odborníci na ERM používali jazyk konzistentní s podnikem namísto technických termínů, kterým bude rozumět jen málokdo. Většina uživatelů výkazů o rizicích nebude rozumět nuancím bodového hodnocení rizik a dalších měření, takže je třeba to vzít v úvahu.

• Výkazy musí být realizovatelné – Jednou z častých stížností na výkazy o rizicích je, že poskytují pouze seznam rizik bez jakékoli další analýzy. Jak vysvětluje Norman Marks, seznam rizik je při jejich řízení užitečný, ale uživatelé zprávy, zejména ti, kteří rozhodují, potřebují pochopit rizika a jejich dopad na cíle kumulativně, nikoliv po jednom. Zamyslete se spíše nad hlavní příčinou (příčinami) rizika, nad jeho dopady na obchodní cíle, nad tím, jak je rozšířené v celé organizaci, zda existuje prostor pro větší riziko a zda v případě výskytu tohoto rizika existují pro organizaci nějaké příležitosti.

Poznámka: Agregace rizik je pokročilý způsob, jak pochopit, jak více rizik kumulativně ovlivňuje cíle, ale vzhledem k tomu, že většina postupů pravděpodobně zahrnuje pokročilé počítačové modelování, neměla by být agregace rizik prioritou, dokud nebudete mít proces vykazování rizik pro vaši organizaci zažitý.

Tyto obecné rady týkající se vykazování rizik platí bez ohledu na publikum. Nakonec se vše zúží na srozumitelnost… veškeré textové nebo vizuální prvky ve zprávách o rizicích musí být dostatečně jasné, aby je uživatel pochopil, aniž by musel příliš přemýšlet, a aby se pak na základě těchto informací mohl rychle rozhodovat.

4 Publikum zpráv o rizicích – co by měly zprávy obsahovat

Klíčový faktor toho, jak se zprávy o rizicích utvářejí, závisí na tom, kdo je koncovým uživatelem. Zpráva o rizicích pro výbor na úrovni představenstva bude vypadat podstatně jinak než zpráva pro vlastníka rizik.

Například zprávy o rizicích pro představenstvo budou mít „širší záběr“ a zaměří se na rizika pro dosažení cílů organizace. Struktura a podrobnost zpráv o rizicích se bude postupně stávat více granulární nebo zaměřená na konkrétní rizika, čím níže po organizačním žebříčku půjdete. A zprávy o rizicích pro regulační orgány mají řadu aspektů oddělených od interních spotřebitelů.

Pokračujte ve čtení, abyste se dozvěděli více o těchto čtyřech adresátech a o tom, co potřebují získat z jakýchkoli zpráv o rizicích.

Představenstvo a výbor pro rizika na úrovni představenstva

Představenstvo nebo výbor pro rizika na úrovni představenstva zkrátka potřebuje zprávu založenou na výkonnosti, která se zaměřuje na dosažení cílů. Povinnosti představenstva nebo výboru pro rizika na úrovni představenstva jsou často delegovány na výbor pro audit.

Co představenstvo od zprávy o rizicích očekává? Ujištění, že generální ředitel a další výkonní manažeři chápou rizika ohrožující cíle a přijímají vhodná opatření k řešení těchto rizik.

Proč? Zajištění, že představenstvo má informace, které potřebuje k pochopení rizik pro dosažení cílů a k plnění svých povinností v oblasti dohledu.

Co? Tato zpráva bude na vysoké úrovni a měla by být podnětem k další diskusi o dalším postupu, ať už jde o zmírňující opatření nebo změnu strategie.

Většina organizací připravuje úplnou zprávu nejméně jednou ročně, ale tento časový rámec znamená, že informace je třeba aktualizovat těsně před touto zprávou. (V opačném případě jsou půl roku staré informace k ničemu.)

Respondenti průzkumu ze státu NC měli společné to, co jejich zprávy obsahovaly. Většina informací obsažených ve zprávách byla textová, přičemž grafické/vizuální prvky, jako jsou grafy nebo tepelné mapy, hrály podpůrnou roli. Vizuální prvky hrají roli při rámcování kritických problémů a ukazují míru vystavení nejvyšším rizikům.

Uvádíme několik příkladů tepelných map z předchozího projektu. Přestože uvádím tento příklad, existují omezení tepelných map, o kterých chci diskutovat v některém z příštích příspěvků…

Převážná většina respondentů také vysvětluje, že v prezentacích na úrovni představenstva uvádějí pouze 10 až 15 největších rizik pro podnik.

Nemohu to dostatečně zdůraznit: tyto zprávy pro představenstvo by měly mít obecný charakter a měly by zahrnovat pouze nejvyšší rizika.

V některých případech si představenstvo může vyžádat následnou kontrolu nebo „hloubkový ponor“ do rizik, která vzbuzují zvláštní obavy, a to čtvrtletně nebo dokonce měsíčně, pokud je riziko dostatečně významné. Tato odpovědnost skutečně spočívá na obchodních funkcích v podniku, pokud jsou rizika skutečně zakotvena v celé organizaci. Když vedoucí pracovníci IT, marketingu, financí, právního oddělení nebo lidských zdrojů prezentují představenstvu, měli by se ujmout vedení při podávání zpráv o klíčových rizicích a jejich hodnocení.

Na druhé straně budou výbory pro rizika a/nebo výbory pro audit na úrovni představenstva vyžadovat úplné zprávy od týmu pro řízení rizik, protože v mnoha případech jsou to fóra, kde se povedou podrobné diskuse o dalším postupu. Takový výbor bude také plnit funkci dohledu nad řízením rizik.

Podívejme se na příklad společnosti Southwest Airlines. Zprávy o rizicích pro výbor společnosti Southwest mají 4 úrovně informací:

1. Proaktivní identifikace největších rizik
2. Představení případných akčních plánů pro tato rizika (minulá, současná, a budoucí)
3. Zveřejnit „přijatelná“ rizika, která jsou mimo kontrolu organizace
4. Označit dopad, který by tato velká rizika mohla mít na dosažení cílů

Vrcholový management

Vedoucí pracovníci, jako je generální ředitel a další, budou mít mnoho stejných požadavků na zprávy o rizicích jako představenstvo. V tomto případě však zprávy budou muset jít do trochu větších podrobností, ale ne do takových, aby byli vedoucí pracovníci při jejich čtení zahlceni.

Ve skutečnosti se vedoucí pracovníci spoléhají na pracovníky ERM, že společně s vlastníky rizik prověří rizika a stanoví jejich prioritu podle dostupných informací. Pracovníci ERM pak poskytnou vedoucím pracovníkům krátký seznam rizik a poradí jim, jaká rozhodnutí je třeba učinit. V těchto zprávách se probírají složky informací o rizicích, jako je kategorie, dopad/pravděpodobnost, rychlost a případné dosavadní zmírňovací aktivity.

Zprávy o rizicích pro vrcholové vedení musí také zahrnovat více než 10-15 jednotlivých, výše uvedených rizik nejvyšší úrovně. Aby vedení mohlo plnit své povinnosti, musí pochopit celkovou úroveň rizika pro daný cíl. Vezmeme-li riziko po jednom, nemusí se jednat o velký problém, ale při „agregaci“ dohromady může představovat obrovskou červenou vlajku.

(Je důležité poznamenat, že skutečná „agregace“ je velmi pokročilé téma, o které byste se neměli pokoušet v době, kdy se proces ERM ve vaší organizaci teprve vyvíjí).

ERM může také na základě pozorování a obecných znalostí doporučit akční kroky ke zmírnění rizik nebo úpravě strategie.

Nakonec je odpovědností vedení zajistit, aby byly zavedeny příslušné kontrolní mechanismy a další činnosti související s riziky.

Dashboard rizik je jedním z nástrojů, které vedoucí pracovníci ve vyspělejších programech ERM používají k získání informací potřebných k plnění svých povinností. Vytvoření dashboardu rizik lze provést ručně pomocí aplikace Excel (nebo podobného nástroje), jedná se však o primární využití softwaru pro řízení rizik. Software ERM, kterých je k dispozici mnoho variant, bude obsahovat ukazatele stavu klíčových rizik, závislostí, dopadů a způsobu jejich řešení. Vedoucí pracovník bude moci rychlým pohledem zjistit vlastníka rizika spolu se souhrnným grafem nejvýznamnějších rizik, dalšími klíčovými ukazateli rizik a dalšími údaji.

Vizuální nástroje, jako je řídicí panel, který může být také součástí zpráv na úrovni představenstva, jsou skvělým způsobem, jak vaše publikum rychle pochopí údaje.

Jedno varování však přece jen je – jak o tom hovoří Norman Marks, COSO, já a další lídři v oblasti rizik, organizace by se měly nejprve zaměřit na zavedení a zdokonalení svých procesů, než se vrhnou na technologické řešení. Nástroj by neměl diktovat proces řízení rizik v organizaci. Místo toho by organizace měla alespoň rok zavádět a zdokonalovat svůj proces a poté najít nástroj, který tento proces podporuje. Koneckonců, software by měl podporovat zefektivnění řízení rizik v celé organizaci.

Existuje i jiný způsob vykazování. Tím je „neformální“ hlášení. Jak vypadá neformální hlášení rizik? Organizace s robustním procesem ERM, který je zakotven v celé organizaci a má silnou podporu vedení, budou hledat pohled odborníků na rizika. Pohledy, názory a perspektivy týmu pro řízení rizik na vyžádání jsou místem, kde lze realizovat skutečnou hodnotu ERM.

Vlastníci rizik

Posledním interním publikem pro reporting rizik budou střední manažeři a další pracovníci v první linii, kteří skutečně vlastní rizika, což znamená osoba(y) odpovědná(é) za monitorování a realizaci všech zmírňujících opatření předepsaných vyšším vedením.

Ačkoli reporty na každé úrovni budou muset poskytovat informace, které lze využít, je to obzvláště důležité pro reporty vlastníkům rizik.

Tyto zprávy budou také poskytovat nejvyšší úroveň podrobnosti týkající se rizik, včetně klíčových ukazatelů rizik. Zprávy pro vlastníky rizik se budou zaměřovat na ukazatele výkonnosti a také budou poskytovat nejaktuálnější informace o hodnocení všech rizik, za která je daný vlastník odpovědný. Na první pohled se vám to může zdát zdrcující, ale je vaší odpovědností, aby byly zprávy stručné i přesné. Nezapomeňte používat kombinaci textových a vizuálních prvků.

Příkladem vhodného vizuálního prvku pro zprávy vlastníků rizik je radarový graf (k dispozici v aplikaci Excel), který porovnává výsledky hodnocení rizik s úrovní tolerance rizik.

Klíčovým rozdílem této zprávy je následující: namísto toho, aby vlastníci rizik používali zprávu k rozvoji nebo úpravě strategie, používají informace ve svých zprávách k plánování a rozpočtování každodenního provozu organizace.

Stejně jako v případě zpráv na úrovni představenstva a vrcholového vedení bude třeba formát přizpůsobit odbornému zázemí a úrovni znalostí ERM, které má koncový uživatel.

Regulační agentury

Poslední cílovou skupinou pro podávání zpráv o rizicích jsou všechny příslušné regulační agentury, které vyžadují, aby organizace podávaly zprávy o rizicích. Veřejně obchodovatelné společnosti v USA musí podle Komise pro cenné papíry a burzy (SEC) vykazovat nejvyšší rizika. Dalším příkladem povinného vykazování rizik je hodnocení vlastní rizikové solventnosti (ORSA) na úrovni státu pro pojišťovny v USA nebo vykazování podle Solventnosti II v Evropské unii.

Jako bývalý regulátor pojišťovnictví v mém domovském státě Florida mohu potvrdit, že jakékoli výkazy rizik pro regulátora musí vyvažovat potřebu společnosti splnit regulační požadavek a potřebu regulátora porozumět rizikům společnosti. Pojišťovna samozřejmě musí rizika zveřejnit, aniž by byla příliš podrobná, což může mít za následek vyšší úroveň kontroly ze strany regulátorů.

V současné době také není jasné, jak dobře regulátoři skutečně rozumí podnikovým rizikům, a mohou tedy informace zpracovat a klást hloubkové otázky týkající se zprávy.

Ve zprávě SEC, známé jako 10-k, se nehledá seznam rizik s podrobnými informacemi o hodnocení, ale spíše popis velkých rizik pro organizaci.

V tomto případě je nejlepší podívat se na ostatní, kteří posílají zprávy, jako je tato od společnosti Walmart, abyste pochopili, co zahrnout do zprávy 10-k, pokud ji vaše společnost musí předložit.

Na závěr…

Chci zopakovat, jak je vykazování rizik skutečně specifické pro organizaci. Obsah zprávy a způsob jejího formátování závisí na řadě faktorů, včetně potřeb uživatelů, odborného zázemí a dovedností publika a dalších individuálně specifických faktorů. Pochopení těchto informací o uživatelích zpráv o rizicích je rozhodující pro zajištění toho, aby byly vytvořeny co nejužitečnější zprávy pro usnadnění další diskuse o rizicích.

Necítíte se pod tlakem, abyste zahrnuli určité prvky, zejména pokud na ně organizace není připravena nebo pokud proces řízení rizik tyto prvky zatím nepodporuje.

A v neposlední řadě jste to již možná uhodli… Zprávy o rizicích jsou velmi proměnlivé. Ani na okamžik si nemyslete, že způsob, jakým budete připravovat zprávy o rizicích, bude pokaždé stejný.

Jen si pamatujte, že proces a formát pro vykazování rizik ve vaší organizaci je neustále se vyvíjející proces.

Vykazování rizik je poměrně hluboké téma, ale tento úvodník by měl poskytnout dobrý základ pro to, co je třeba zvážit při vytváření zpráv ve vaší organizaci.

Považují členové představenstva a vedoucí pracovníci ve vaší organizaci zprávy o rizicích za užitečné při řešení rizik pro strategické cíle?

Poskytují vám jako odborníkovi na rizika vodítko, které potřebujete k tomu, abyste jim poskytli správné informace způsobem, který je pro ně užitečný?

Zajímají mě vaše názory a zkušenosti s tímto důležitým tématem… jednoduše je komentujte níže nebo se připojte ke konverzaci na LinkedIn a podělte se o svůj pohled nebo otázky.

A pokud máte potíže s vypracováním stručných a použitelných zpráv o rizicích pro vaši organizaci nebo regulační úřad, navštivte můj konzultační web (Strategic Decision Solutions), kde se dozvíte více o tom, jak pomáhám organizacím překonat problémy a zajistit dlouhodobý úspěch.

.