Den ultimative grundbog til effektiv risikorapportering

En mekanisme til at sikre, at ledelse, forretningsledere og andre interessenter træffer risikoinformerede beslutninger og opfylder tilsynsforpligtelser

I sidste ende bør ERM-processen betragtes som en cyklus eller et feedback loop … hvilket betyder, at der aldrig er et endegyldigt slutpunkt.

Det er ligesom årets fire årstider – der er aldrig et slutpunkt, men blot et kontinuerligt loop i løbet af året. Efteråret går til vinter, vinteren til foråret, vinteren til foråret, foråret til sommeren, tilbage til efteråret, og cyklussen fortsætter, som den har gjort i æoner.

Jeg har diskuteret andre punkter langs ERM-sløjfen som f.eks. risikoidentifikation, -vurdering og -analyse samt procesudvikling i tidligere artikler.

I denne artikel vil jeg dykke ned i det sidste punkt i dette loop eller denne cyklus – risikorapportering.

Hvor jeg går videre, vil jeg gerne forklare, at denne grundbog ikke nødvendigvis vil komme ind på, hvordan du bør udarbejde risikorapporter i din organisation. Som du vil se i de kommende afsnit, er der mange organisations- og individspecifikke faktorer, der indgår i en effektiv risikorapportering.

Selv om der vil være nogle eksempler nedenfor, vil denne artikel fokusere på elementer i en solid risikorapportering og overvejelser baseret på, hvem din(e) rapport(er) er beregnet til.

Selvfølgelig vil jeg starte med at give dig en definition…

Hvad er risikorapportering, og hvorfor er det vigtigt?

Da risikorapportering kan variere meget fra den ene organisation til den anden, er en præcis definition svær at fastlægge. COSO ERM Framework (2017) siger dog følgende om risikorapportering:

Rapportering støtter personale på alle niveauer i at forstå sammenhængen mellem risiko, kultur og præstationer og forbedre beslutningstagningen i forbindelse med strategi- og målfastsættelse, styring og daglig drift.

Og som Norman Marks forklarer i sin bog World-Class Risk Management (…en kilde, som jeg vil referere mere til i denne artikel), bør risikostyring være en væsentlig del af den daglige ledelse og beslutningstagning i en organisation. Det er dog vigtigt, at ledelsen og bestyrelsen “gør status” med jævne mellemrum. På den måde, så bestyrelsen og den øverste ledelse ved, at organisationen er på rette vej til at nå sine mål.

Ud over at gøre status er risikorapportering også vigtig ud fra et juridisk perspektiv. Før i tiden behøvede en bestyrelse ikke nødvendigvis at kende til en risiko, men i dag kan bestyrelser ikke hævde, at de blot var uvidende om en risiko, der endte med at blive et stort problem. Bestyrelsesmedlemmer har en forpligtelse til at forstå de risici, som en organisation står over for, og sikre, at ledelsen håndterer dem på den rette måde.

Trods vigtigheden af risikorapportering er tilfredsheden med “…arten og omfanget af den interne rapportering af centrale risikoindikatorer, der kan være nyttige til overvågning af nye risici af ledende medarbejdere” ret lav, ifølge rapporten State of Risk Oversight 2018 fra NC State University. Over 40 % af de adspurgte hævder, at de er “slet ikke” eller “minimalt” tilfredse med kvaliteten af den rapportering, de modtager fra deres risikopersonale.

Hvorfor er dette?

To hovedårsager (bare rolig – jeg vil diskutere disse mere detaljeret senere):

1. Rapporten taler ikke til den rigtige målgruppe.

Da man ikke forstår de tiltænkte modtageres baggrund eller deres viden om ERM, er risikorapporterne enten overvældende (for detaljerede) eller så højt niveau, at de ikke giver nogen reel information.

2. Rapporten er en dokumentationsøvelse uden indsigt.

En rapport, der blot giver en liste over risici uden realtidsindsigt og perspektiver på opnåelse af kritiske mål, betyder i bund og grund, at risikorapporten er et kønt billede, der dokumenterer det, som folk allerede ved. Lister over risici er også ret hurtigt forældede, da enhver beslutning enten ændrer eksisterende risici eller skaber nye.

Risikorapportering, der blot opregner risici, er en af flere måder, hvorpå ERM kan falde i den frygtede “check-the-box”-fælde. Bestyrelsesmedlemmer og ledere vil til sidst begynde at stille spørgsmålstegn ved værdien af ERM i denne situation.

En ægte værdiskabende risikorapportering vil give indsigt og perspektiver i realtid om risici for målene. Det kan dog være en udfordring at have rettidige oplysninger i en formel sammenhæng, så vær forsigtig med, hvor meget tid det tager at indsamle, kompilere, analysere og rapportere oplysningerne. Organisationer med mere robuste ERM-processer bruger risikorapportering som et springbræt til yderligere diskussioner om strategi, afbødning med mere.

Generelle råd om risikorapportering

Tidligere nævnte jeg kort, hvordan behovene for en risikorapportering varierer afhængigt af målgruppen. Der er dog nogle få generelle råd om risikorapportering, der kan sikre, at dine risikorapporter er handlingsorienterede og lette at bruge. Disse tips omfatter:

• Rapportstruktur – Uanset hvordan du udvikler risikorapporter i din organisation, skal de først og fremmest være intuitive. Du bør ikke være nødt til at lære publikum, hvordan de skal læse og handle på rapporten. Hvis du skal det, er rapporten for kompleks og/eller for forvirrende. Tænk også på slutbrugernes baggrund – hvor meget ved de om virksomhedens risikostyringspraksis? Har de mere en forretningsmæssig, teknisk eller juridisk baggrund?

• Risikoterminologi – En af grundene til, at mange organisationer kæmper med risikorapportering, har at gøre med det sprog, der bruges i rapporterne. Som jeg forklarer her, er det vigtigt for ERM-fagfolk at bruge et sprog, der er i overensstemmelse med virksomheden, i stedet for tekniske termer, som kun nogle få vil forstå. De fleste brugere af risikorapporter vil ikke forstå nuancerne i risikoscoring og andre målinger, så det skal der tages højde for.

• Rapporter skal være handlingsorienterede – En af de almindelige klager over risikorapportering er, at de blot giver en liste over risici uden yderligere analyse. Som forklaret af Norman Marks er en liste over risici nyttig i forbindelse med risikostyring, men det, som brugerne af rapporten har brug for, især beslutningstagere, er at forstå risikoen og dens indvirkning på målene på en kumulativ måde, ikke en for en. Tænk mere over den eller de grundlæggende årsager til risikoen, virkningerne på forretningsmålene, hvor udbredt den er i hele organisationen, om der er plads til at tage flere risici, og om der er muligheder for organisationen, hvis denne risiko opstår.

Note: Risikoaggregation er en avanceret måde at forstå, hvordan flere risici kumulativt påvirker målene, men da de fleste praksisser sandsynligvis involverer avanceret computermodellering, bør risikoaggregation ikke prioriteres, før du har fået fastlagt risikorapporteringsprocessen for din organisation.

Disse generelle råd om risikorapportering gælder uanset målgruppen. I sidste ende handler det om klarhed … enhver tekst eller visuelle elementer i risikorapporter skal være klare nok til, at brugeren kan forstå dem uden at skulle tænke for meget, og derefter hurtigt kunne træffe beslutninger baseret på disse oplysninger.

4 Målgrupper for risikorapportering – hvad rapporterne bør indeholde

Den centrale faktor for, hvordan risikorapporter tager form, afhænger af, hvem slutbrugeren er. En risikorapportering til et udvalg på bestyrelsesniveau vil se meget anderledes ud end en rapport til en risikoejer.

For eksempel vil en risikorapportering til bestyrelsen være mere “overordnet” og fokusere på risici for, at organisationen når sine mål. Risikorapporternes struktur og detaljeringsgrad vil gradvist blive mere granuleret eller fokuseret på specifikke risici, jo længere ned ad den organisatoriske stige man kommer. Og risikorapporter til tilsynsmyndigheder har et væld af overvejelser, der er adskilt fra interne forbrugere.

Fortsæt læsningen for at lære mere om disse fire målgrupper, og hvad de har brug for at få ud af alle risikorapporter.

Bestyrelse og risikoudvalg på bestyrelsesniveau

Kort sagt har bestyrelsen eller et risikoudvalg på bestyrelsesniveau brug for en resultatbaseret rapport, der fokuserer på at nå målene. Bestyrelsens eller risikoudvalgets ansvarsområder på bestyrelsesniveau er ofte uddelegeret til revisionsudvalget.

Hvad søger bestyrelsen i en risikorapportering? Sikkerhed for, at den administrerende direktør og andre ledende ledere forstår risici for målene og træffer passende foranstaltninger for at imødegå disse risici.

Hvorfor? Sikrer, at bestyrelsen har de oplysninger, den har brug for til at forstå risici for at nå målene og opfylde sit tilsynsansvar.

Hvad? Denne rapport vil være på højt niveau og bør give anledning til yderligere drøftelser om, hvordan man skal gå videre, uanset om det indebærer afhjælpende foranstaltninger eller en ændring af strategien.

De fleste organisationer udarbejder en fuldstændig rapport mindst en gang om året, men denne tidsramme betyder, at oplysningerne skal opdateres lige før denne rapport. (Ellers er oplysninger, der er 6 måneder gamle, ubrugelige.)

Respondenterne på en undersøgelse fra NC State havde en fællesnævner i det, som deres rapporter indeholdt. Hovedparten af oplysningerne i rapporterne var tekstbaserede med grafiske/visuelle elementer, som f.eks. diagrammer eller varmekort, der spillede en understøttende rolle. Visuelle elementer spiller en rolle med hensyn til at indramme kritiske spørgsmål og vise graden af eksponering for de største risici.

Her er et par eksempler på varmekort fra et tidligere projekt. Selv om jeg giver dette eksempel, er der begrænsninger ved varmekort, som jeg vil diskutere i et fremtidigt indlæg…

Det store flertal af respondenterne forklarer også, at de kun rapporterer om de 10 til 15 største risici for virksomheden i deres præsentationer på bestyrelsesniveau.

Jeg kan ikke understrege dette nok: Disse rapporter til bestyrelsen bør være af generel karakter og kun omfatte de største risici.

I nogle tilfælde kan bestyrelsen anmode om en opfølgning eller en “dybdegående undersøgelse” af risici, der giver anledning til særlig bekymring, hvert kvartal eller endog hver måned, hvis risikoen er tilstrækkelig stor. Dette ansvar påhviler i virkeligheden forretningsfunktionerne i virksomheden, hvis risikoen virkelig er forankret i hele organisationen. Når it-, marketing-, finans-, juridiske eller HR-cheferne fremlægger for bestyrelsen, bør de tage føringen med hensyn til rapportering om de vigtigste risici og deres vurdering af disse risici.

På den anden side vil risiko- og/eller revisionsudvalg på bestyrelsesniveau efterspørge fuldstændige rapporter fra risikostyringsteamet, da det i mange tilfælde er i disse fora, at de detaljerede diskussioner om vejen frem vil finde sted. Et sådant udvalg vil også udføre tilsynsfunktionen for risikostyring.

Lad os se på Southwest Airlines som et eksempel. Risikorapporter til bestyrelsen i Southwest har 4 informationsniveauer:

1. Proaktiv identifikation af de største risici
2. Oplysning af eventuelle handlingsplaner for disse risici (tidligere, nuværende, og fremtid)
3. Liste over “accepterede” risici, som er uden for organisationens kontrol
4. Oplys den indvirkning, som disse store risici kan have på opfyldelsen af målene

Senior Management

Ledere som den administrerende direktør og andre vil have mange af de samme krav til risikorapportering som bestyrelsen. I dette tilfælde skal rapporterne dog være lidt mere detaljerede, men ikke så detaljerede, at de ledende medarbejdere, der læser dem, bliver overvældet.

Faktisk er de ledende medarbejdere afhængige af ERM-medarbejdere til at gennemgå risici med risikoejere og prioritere dem i henhold til de tilgængelige oplysninger. ERM-medarbejderne vil derefter give lederne en kort liste over risici og give vejledning om de beslutninger, der skal træffes. Komponenterne i risikooplysningerne, såsom kategori, indvirkning/sandsynlighed, hastighed og eventuelle afhjælpningsaktiviteter til dato, drøftes i disse rapporter.

Risikorapporter til den øverste ledelse skal også dække mere end de 10-15 individuelle top-tier-risici, der er nævnt ovenfor. For at ledelsen kan leve op til sit ansvar, skal den forstå det overordnede risikoniveau for et mål. Taget enkeltvis er en risiko måske ikke noget stort problem, men når den “aggregeres” sammen, kan den udgøre et stort rødt flag.

(Det er vigtigt at bemærke, at ægte “aggregering” er et meget avanceret emne, som ikke bør forsøges, mens der stadig udvikles en ERM-proces i din organisation.)

ERM kan også anbefale handlingsskridt til at mindske risici eller ændre strategien på baggrund af observationer og generel viden.

I sidste ende er det ledelsens ansvar at sikre, at passende kontroller og andre risikorelaterede aktiviteter er på plads.

Et risikodashboard er et af de værktøjer, som ledere i mere modne ERM-programmer bruger til at få de oplysninger, de har brug for for at opfylde deres ansvar. Oprettelse af et risikodashboard kan gøres manuelt ved hjælp af Excel (eller et lignende værktøj), men dette er dog en primær anvendelse af risikosoftware. ERM-software, som der findes mange muligheder for, vil indeholde indikatorer for status for centrale risici, afhængigheder, konsekvenser og hvordan de håndteres. Med et hurtigt blik vil lederen kunne se risikoejeren sammen med et oversigtsdiagram over de største risici, andre centrale risikoindikatorer og meget mere.

Visuelle værktøjer som et dashboard, der også kan indgå i rapporter på bestyrelsesniveau, er en fantastisk måde for din målgruppe til hurtigt at forstå data.

Et ord til forsigtighed dog – som diskuteret af Norman Marks, COSO, mig selv og andre tænkende ledere inden for risiko, bør organisationer først fokusere på at etablere og forfine deres processer, før de kaster sig ud i en teknologisk løsning. Et værktøj bør ikke diktere risikoprocessen i en organisation. I stedet bør en organisation etablere og finpudse sin proces i mindst et år og derefter finde et værktøj, der understøtter denne proces. Når alt kommer til alt, bør softwaren understøtte en mere strømlinet styring af risici i hele organisationen.

Der er en anden måde at rapportere på. Det er “uformel” rapportering. Hvordan ser den uformelle risikorapportering ud? Organisationer med en robust ERM-proces, der er forankret i hele organisationen og har et stærkt ledelsesmæssigt opbakning, vil opsøge risikofagfolks perspektiv. Den on-demand indsigt, udtalelser og perspektiver fra risikoteamet er der, hvor den virkelige værdi af ERM kan realiseres.

Risiko-ejere

Den sidste interne målgruppe for risikorapportering vil være mellemledere og andet personale i frontlinjen, der rent faktisk ejer risiciene, hvilket betyder den eller de personer, der er ansvarlige for overvågning og gennemførelse af eventuelle afbødningsforanstaltninger, der er foreskrevet af den øverste ledelse.

Og selv om rapporter på alle niveauer skal give handlingsorienterede oplysninger, er dette især vigtigt for rapporter til risiko-ejere.

Disse rapporter vil også give det højeste detaljeringsniveau med hensyn til risiko, herunder centrale risikoindikatorer. Rapporter til risikoejerne vil fokusere på præstationsmålinger og give de mest opdaterede oplysninger om vurderingen af alle risici under den enkeltes ansvarsområde. Dette kan i første omgang virke overvældende for dig, men det er dit ansvar at være både kortfattet og præcis i rapporterne. Husk at bruge en kombination af tekst og visuelle elementer.

Et eksempel på et godt visuelt element til risikoejernes rapporter er et radardiagram (findes i Excel), som sammenligner resultaterne af risikovurderingen med risikotoleranceniveauerne.

En væsentlig forskel er denne rapport er denne: I stedet for at bruge rapporten til at udvikle eller ændre strategien bruger risikoejere oplysningerne i deres rapporter til at planlægge og budgettere organisationens daglige drift.

Som det er tilfældet med rapporter på bestyrelses- og ledelsesniveau, skal formatet tilpasses den faglige baggrund og det ERM-videnniveau, som slutbrugeren har.

Regulerende myndigheder

Den sidste målgruppe for risikorapportering, der skal nævnes, er alle relevante regulerende myndigheder, der kræver, at organisationer rapporterer om risici. Børsnoterede selskaber i USA er forpligtet af Securities and Exchange Commission (SEC) til at rapportere om de største risici. Et andet eksempel på obligatorisk risikorapportering er ORSA (Own Risk Solvency Assessment) på statsniveau for amerikanske forsikringsselskaber eller Solvens II-rapportering i Den Europæiske Union.

Som tidligere forsikringstilsynsmyndighed i min hjemstat Florida kan jeg bevidne, at enhver risikorapportering til en tilsynsmyndighed skal balancere virksomhedens behov for at opfylde det lovmæssige krav og tilsynsmyndighedens behov for at forstå virksomhedens risici. Selvfølgelig skal forsikringsselskabet oplyse om risici uden at blive for detaljeret, hvilket kan resultere i et højere niveau af kontrol fra tilsynsmyndighedernes side.

På nuværende tidspunkt er det også uklart, hvor godt tilsynsmyndighederne virkelig forstår virksomhedens risici og derfor kan fordøje oplysninger og stille dybtgående spørgsmål vedrørende rapporten.

SEC’s rapport, kendt som 10-k, leder ikke efter en liste risici med detaljerede vurderingsoplysninger, men snarere en fortælling om de store risici for organisationen.

I dette tilfælde er det bedst at se på andre, der sender rapporter som denne fra Walmart for at forstå, hvad der skal indgå i en 10-k-rapport, hvis din virksomhed er forpligtet til at indsende en.

I konklusion…

Jeg vil gerne gentage, hvordan risikorapportering virkelig er organisationsspecifik. Indholdet af en rapport, og hvordan den er formateret, afhænger af en række faktorer, herunder brugernes behov, målgruppens faglige baggrund og færdigheder og andre individspecifikke faktorer. At forstå dette om brugerne af risikorapporter er afgørende for at sikre, at de mest nyttige rapporter til at fremme yderligere drøftelser om risici bliver udarbejdet.

Føl dig ikke presset til at medtage visse elementer, især hvis organisationen ikke er klar til dem, eller hvis risikoprocessen ikke understøtter disse elementer endnu.

Sidst, men ikke mindst, har du måske gættet det nu … Risikorapportering er meget flydende. Tro ikke et øjeblik, at den måde, du udarbejder risikorapporter på, vil være den samme hver gang.

Husk blot, at processen og formatet for risikorapportering i din organisation er en proces i konstant udvikling.

Risikorapportering er et ret dybtgående emne, men denne grundbog skulle give et godt grundlag for, hvad du skal overveje, når du udarbejder rapporter i din organisation.

Finder bestyrelsesmedlemmer og ledere i din organisation risikorapporter nyttige til at håndtere risici i forhold til strategiske målsætninger?

Giver de den vejledning, du som risikofagmand har brug for, for at give dem de rigtige oplysninger på en måde, der er nyttig for dem?

Jeg er interesseret i at høre dine tanker og erfaringer om dette vigtige emne … kommenter blot nedenfor eller deltag i samtalen på LinkedIn for at dele dit perspektiv eller spørgsmål.

Og hvis du kæmper med at udvikle koncise og brugbare risikorapporter til din organisation eller et reguleringsorgan, kan du besøge mit konsulentwebsted (Strategic Decision Solutions) for at få mere at vide om, hvordan jeg hjælper organisationer med at overvinde udfordringer og sikre langsigtet succes.