- Egy mechanizmus, amely biztosítja, hogy a vezetés, az üzleti vezetők és más érdekeltek kockázati információk alapján hozzanak döntéseket és teljesítsék felügyeleti feladataikat
- Mi a kockázati jelentés és miért fontos?
- Általános tippek a kockázatjelentéshez
- 4 Kockázati jelentések célközönsége – Mit kell tartalmazniuk a jelentéseknek
- Végezetül…
Egy mechanizmus, amely biztosítja, hogy a vezetés, az üzleti vezetők és más érdekeltek kockázati információk alapján hozzanak döntéseket és teljesítsék felügyeleti feladataikat
A nap végén az ERM folyamatot egy ciklusnak vagy visszacsatolási körnek kell tekinteni…ami azt jelenti, hogy soha nincs végleges végpont.
Ez olyan, mint az év négy évszaka – soha nincs végpont, csak egy folyamatos hurok az év folyamán. Az ősz átmegy télbe, a tél tavaszba, a tavasz nyárba, majd vissza az őszbe, és a körforgás folytatódik, ahogy ez már évezredek óta történik.
Az ERM-hurok más pontjait, például a kockázatok azonosítását, értékelését és elemzését, valamint a folyamatok fejlesztését korábbi cikkeimben már tárgyaltam.
Ebben a cikkben ennek a huroknak vagy ciklusnak az utolsó pontjába, a kockázati jelentésbe fogok belemerülni.
Mielőtt továbbmennék, szeretném elmagyarázni, hogy ez az alapozó nem feltétlenül fog belemenni abba, hogyan kell elkészítenie a kockázati jelentéseket a szervezetében. Amint azt a következő fejezetekben látni fogja, a hatékony kockázatjelentésben sok szervezet- és egyénspecifikus tényező játszik szerepet.
Míg az alábbiakban lesz néhány példa, ez a cikk a megbízható kockázatjelentés elemeire és a jelentés(ek) címzettjei alapján megfogalmazott megfontolásokra fog összpontosítani.
Minden további nélkül egy definícióval szeretném kezdeni…
Mi a kockázati jelentés és miért fontos?
Miatt, hogy a kockázati jelentés szervezetenként nagyon eltérő lehet, nehéz pontos definíciót adni. A COSO ERM keretrendszer (2017) azonban a következőket mondja a kockázati jelentéstételről:
A jelentéstétel minden szinten támogatja a személyzetet abban, hogy megértse a kockázat, a kultúra és a teljesítmény közötti összefüggéseket, és javítsa a döntéshozatalt a stratégia- és célmeghatározás, az irányítás és a napi működés során.
És ahogy Norman Marks World-Class Risk Management című könyvében kifejti (…erre a forrásra ebben a cikkben még többször hivatkozni fogok), a kockázatok kezelésének a szervezet mindennapi irányításának és döntéshozatalának alapvető részét kell képeznie. Fontos azonban, hogy a vezetőség és az igazgatótanács időnként “számot vessen”. Így az igazgatótanács és a felső vezetés tudja, hogy a szervezet jó úton halad a céljai elérése felé.
A leltározás mellett a kockázatokról való jelentéstétel jogi szempontból is fontos. A múltban az igazgatóságnak nem feltétlenül kellett tudnia egy kockázatról, de ma már az igazgatóságok nem hivatkozhatnak arra, hogy egyszerűen nem tudtak egy olyan kockázatról, amely végül nagy problémává vált. Az igazgatósági tagoknak kötelességük megérteni a szervezetet fenyegető kockázatokat, és biztosítani, hogy a vezetés megfelelő módon kezelje azokat.”
A kockázati jelentés fontossága ellenére az NC State University 2018-as State of Risk Oversight jelentése szerint meglehetősen alacsony az elégedettség szintje “…a fő kockázati mutatók belső jelentésének jellegével és mértékével, amelyek hasznosak lehetnek a felmerülő kockázatok felsővezetők általi nyomon követéséhez”. A válaszadók több mint 40%-a állítja, hogy “egyáltalán nem” vagy “minimálisan” elégedett a kockázati munkatársaktól kapott jelentések minőségével.
Miért van ez?
Két fő ok (ne aggódjon – később részletesebben is kitérek ezekre):
1. A jelentés nem a megfelelő célközönséghez szól.
Azáltal, hogy nem értik meg a címzettek hátterét vagy az ERM-ről való ismereteiket, a kockázati jelentések vagy túlterhelőek (túl részletesek), vagy olyan magas szintűek, hogy nem nyújtanak valódi információt.
2. A jelentés dokumentációs gyakorlat, betekintés nélkül.
A jelentés egyszerűen csak a kockázatok listáját tartalmazza, valós idejű betekintés és a kritikus célok elérésének perspektívái nélkül, lényegében azt jelenti, hogy a kockázati jelentés egy szép kép, amely azt dokumentálja, amit az emberek már tudnak. A kockázatok listái ráadásul meglehetősen gyorsan elavulnak, mivel minden döntés vagy módosítja a meglévő kockázatokat, vagy újakat hoz létre.
A kockázatok egyszerű felsorolását tartalmazó kockázatjelentések egyike annak, hogy az ERM a rettegett “check-the-box” csapdájába eshet. Az igazgatótanácsi tagok és a vezetők végül megkérdőjelezik az ERM értékét ebben a helyzetben.
A valódi hozzáadott értéket képviselő kockázati jelentés valós idejű betekintést és perspektívát nyújt a célokat érintő kockázatokról. Az időszerű információkkal való rendelkezés azonban kihívást jelenthet egy hivatalos környezetben, ezért óvatosan kell eljárni azzal kapcsolatban, hogy mennyi időt vesz igénybe az információk összegyűjtése, összeállítása, elemzése és jelentése. A szilárdabb ERM-folyamatokkal rendelkező szervezetek a kockázatjelentést ugródeszkaként használják a stratégiáról, a kockázatcsökkentésről és egyebekről szóló további megbeszélésekhez.
Általános tippek a kockázatjelentéshez
Korábban röviden említettem, hogy a kockázatjelentéssel kapcsolatos igények a célközönségtől függően változnak. Van azonban néhány általános kockázatjelentési tipp, amelyekkel biztosíthatja, hogy a kockázati jelentései megvalósíthatóak és könnyen fogyaszthatóak legyenek. Ezek a tippek a következők:
- Jelentés felépítése – Bárhogyan is alakítja ki a kockázati jelentéseket a szervezetében, azoknak mindenekelőtt intuitívnak kell lenniük. Nem szabad, hogy meg kelljen tanítania a közönséget arra, hogyan olvassa el és hogyan tegyen lépéseket a jelentés alapján. Ha mégis megteszi, akkor a jelentés túl összetett és/vagy túl zavaros. Vegye figyelembe a végfelhasználók hátterét is – mennyit tudnak a vállalati kockázatkezelési gyakorlatokról? Inkább üzleti, műszaki vagy jogi háttérrel rendelkeznek?
- Kockázati terminológia – Az egyik ok, amiért sok szervezetnek nehézséget okoz a kockázati jelentéskészítés, a jelentésekben használt nyelvezethez kapcsolódik. Amint azt itt kifejtem, fontos, hogy az ERM-szakemberek a vállalkozással összhangban lévő nyelvet használjanak ahelyett, hogy olyan szakkifejezéseket használnának, amelyeket csak kevesen értenek. A kockázati jelentések legtöbb felhasználója nem fogja érteni a kockázati pontozás és más mérések árnyalatait, ezért ezt figyelembe kell venni.
- A jelentéseknek cselekvőképesnek kell lenniük – A kockázati jelentésekkel kapcsolatos egyik gyakori panasz, hogy egyszerűen a kockázatok listáját adják meg minden további elemzés nélkül. Ahogy Norman Marks kifejtette, a kockázatok listája hasznos a kockázatok kezelése során, de amire a jelentés felhasználóinak – különösen a döntéshozóknak – szüksége van, az az, hogy a kockázatot és annak a célokra gyakorolt hatását ne egyenként, hanem halmozottan értsék. Gondoljon inkább a kockázat alapvető okára (okaira), az üzleti célokra gyakorolt hatásokra, arra, hogy mennyire átható az egész szervezeten belül, van-e lehetőség további kockázatvállalásra, és hogy vannak-e lehetőségek a szervezet számára, ha ez a kockázat bekövetkezik.
Megjegyzés: A kockázatok összesítése egy fejlett módja annak megértésére, hogy több kockázat hogyan hat halmozottan a célkitűzésekre, de mivel a legtöbb gyakorlat valószínűleg fejlett számítógépes modellezéssel jár, a kockázatok összesítése nem lehet prioritás, amíg nem szögezte le a szervezet kockázatjelentési folyamatát.
A kockázatjelentésre vonatkozó ezen általános tippek a célközönségtől függetlenül érvényesek. Végső soron a lényeg az áttekinthetőség… a kockázati jelentésekben szereplő szöveges vagy vizuális elemeknek elég világosnak kell lenniük ahhoz, hogy a felhasználó megértse őket anélkül, hogy sokat kellene gondolkodnia, és az információk alapján gyorsan tudjon döntéseket hozni.
4 Kockázati jelentések célközönsége – Mit kell tartalmazniuk a jelentéseknek
A kockázati jelentések kialakításának alapvető tényezője attól függ, hogy ki a végfelhasználó. Egy igazgatósági szintű bizottságnak szóló kockázati jelentés sokkal másképp fog kinézni, mint egy kockázattulajdonosnak szóló jelentés.
Az igazgatóságnak szóló kockázati jelentés például sokkal “átfogóbb” lesz, és a szervezet céljainak elérését veszélyeztető kockázatokra összpontosít. A kockázati jelentések struktúrája és részletessége fokozatosan szemcsésebbé válik, illetve a konkrét kockázatokra összpontosít, minél lejjebb haladunk a szervezeti ranglétrán. A szabályozó hatóságok számára készített kockázati jelentések pedig számos, a belső fogyasztóktól eltérő megfontolással rendelkeznek.
Folytassa az olvasást, hogy többet megtudjon erről a négy célközönségről, és arról, hogy mit kell megtudniuk a kockázati jelentésekből.
Az igazgatóság és az igazgatósági szintű kockázati bizottság
Röviden, az igazgatóságnak vagy az igazgatósági szintű kockázati bizottságnak teljesítményalapú jelentésre van szüksége, amely a célok elérésére összpontosít. Az igazgatótanács vagy igazgatótanácsi szintű kockázatkezelési bizottság feladatait gyakran az auditbizottságra ruházzák át.
Mit vár el az igazgatótanács egy kockázati jelentéstől? Biztosítékot arra vonatkozóan, hogy a vezérigazgató és más ügyvezetők megértik a célokat érintő kockázatokat, és megfelelő intézkedéseket tesznek e kockázatok kezelésére.
Miért? Biztosítja, hogy az igazgatóság rendelkezzen a szükséges információkkal ahhoz, hogy megértse a célkitűzések elérésével kapcsolatos kockázatokat és teljesítse felügyeleti feladatait.
Mi? Ez a jelentés magas szintű lesz, és további megbeszélésekre kell ösztönöznie a további lépésekről, akár enyhítő intézkedés(ek)et, akár a stratégia megváltoztatását jelenti.
A legtöbb szervezet legalább évente készít teljes jelentést, de ez az időkeret azt jelenti, hogy az információkat közvetlenül a jelentés előtt kell frissíteni. (Ellenkező esetben a 6 hónapos információk használhatatlanok.)
Az NC State felmérésére válaszolóknak közös volt, hogy mit tartalmaznak a jelentéseik. A jelentésekben szereplő információk nagy része szövegalapú volt, a grafikus/vizuális elemek, mint például a diagramok vagy hőtérképek támogató szerepet játszottak. A vizuális elemek szerepet játszanak a kritikus kérdések keretbe foglalásában és a legfőbb kockázatoknak való kitettség szintjének bemutatásában.
Itt van néhány példa a hőtérképekre egy korábbi projektből. Bár ezt a példát adom, a hőtérképeknek vannak korlátai, amelyeket egy későbbi bejegyzésben szeretnék megvitatni…
A válaszadók túlnyomó többsége azt is kifejtette, hogy csak a vállalatot érintő 10-15 legnagyobb kockázatról számol be az igazgatósági szintű prezentációkban.
Nem tudom eléggé hangsúlyozni: ezeknek az igazgatóságnak szóló jelentéseknek általános jellegűeknek kell lenniük, és csak a legfőbb kockázatokat kell tartalmazniuk.
Az igazgatóság bizonyos esetekben kérheti, hogy negyedévente vagy akár havonta, ha a kockázat elég jelentős, a különösen aggasztó kockázatokkal kapcsolatban nyomon követést vagy “mélyrehatóbb vizsgálatot” végezzenek. Ez a felelősség valójában a vállalat üzleti funkcióira hárul, ha a kockázat valóban az egész szervezetbe beágyazódott. Amikor az IT, a marketing, a pénzügyi, a jogi vagy a HR-vezetők beszámolnak az igazgatótanácsnak, nekik kell átvenniük a vezetést a fő kockázatokról való beszámolásban és a kockázatok értékelésében.
Másrészt, az igazgatótanácsi szintű kockázati és/vagy auditbizottságok teljes körű jelentéseket várnak a kockázatkezelési csapattól, mivel sok esetben ezeken a fórumokon kerül sor a továbblépés részletes megvitatására. Egy ilyen bizottság a kockázatkezelés felügyeleti funkcióját is ellátja.
Nézzük meg a Southwest Airlines példáját. A Southwestnél az igazgatótanács számára készített kockázati jelentések 4 szintű információt tartalmaznak:
- A legnagyobb kockázatok proaktív azonosítása
- A kockázatokra vonatkozó cselekvési tervek ismertetése (múltbeli, jelenlegi, és a jövőben)
- Listázza azokat az “elfogadott” kockázatokat, amelyek kívül esnek a szervezet ellenőrzésén
- Vázolja fel, hogy ezek a nagy kockázatok milyen hatással lehetnek a célok elérésére
Felső vezetés
A vezetőknek, például a vezérigazgatónak és másoknak számos olyan kockázatjelentési követelménye van, mint az igazgatóságnak. Ebben az esetben azonban a jelentéseknek egy kicsit részletesebbnek kell lenniük, de nem annyira, hogy az azokat olvasó vezetők túlterheltek legyenek.
A vezetők valójában az ERM munkatársaira támaszkodnak, hogy a kockázatokat a kockázattulajdonosokkal együtt megvizsgálják, és a rendelkezésre álló információk alapján rangsorolják azokat. Az ERM munkatársai ezután a vezetők rendelkezésére bocsátják a kockázatok rövid listáját, és útmutatást adnak a meghozandó döntésekhez. Ezekben a jelentésekben a kockázati információk összetevőit, például a kategóriát, a hatást/valószínűséget, a sebességet és az eddigi kockázatcsökkentő tevékenységeket tárgyalják.
A felső vezetésnek szóló kockázati jelentéseknek a fent említett 10-15 egyedi, kiemelt kockázatnál többre is ki kell terjedniük. Ahhoz, hogy a vezetés eleget tudjon tenni feladatainak, meg kell értenie a célt érintő kockázatok általános szintjét. Egyenként véve egy kockázat lehet, hogy nem jelent nagy ügyet, de “összesítve” hatalmas vörös zászlót jelenthet.
(Fontos megjegyezni, hogy a valódi “összevonás” egy nagyon fejlett téma, amelyet nem szabad megkísérelni, amíg az ERM-folyamatot még nem fejlesztették ki a szervezetben.)
Az ERM a megfigyelések és az általános ismeretek alapján cselekvési lépéseket is javasolhat a kockázatok mérséklésére vagy a stratégia módosítására.
Végeredményben a vezetés felelőssége, hogy biztosítsa a megfelelő kontrollok és egyéb, kockázattal kapcsolatos tevékenységek meglétét.
A kockázati műszerfal az egyik eszköz, amelyet a fejlettebb ERM-programokban a vezetők arra használnak, hogy megkapják a feladataik ellátásához szükséges információkat. A kockázati műszerfal létrehozása kézzel is elvégezhető Excel (vagy hasonló eszköz) segítségével, azonban ez a kockázati szoftverek elsődleges felhasználási területe. Az ERM-szoftverek, amelyek közül számos lehetőség áll rendelkezésre, tartalmaznak mutatókat a kulcsfontosságú kockázatok állapotáról, a függőségekről, a hatásokról és azok kezelésének módjáról. A vezető egy gyors pillantással láthatja a kockázattulajdonost, valamint egy összefoglaló táblázatot a legfőbb kockázatokról, más kulcsfontosságú kockázati mutatókról és egyebekről.
A vizuális eszközök, mint például a műszerfal, amelyek az igazgatótanácsi szintű jelentésekben is szerepelhetnek, remek lehetőséget nyújtanak a közönség számára az adatok gyors megértéséhez.
Kockázati műszerfal példa az NC State University jóvoltából
Egy óvatosságra int azonban – ahogyan azt Norman Marks, a COSO, jómagam és más kockázati gondolkodók is kifejtették, a szervezeteknek először a folyamatok kialakítására és finomítására kell összpontosítaniuk, mielőtt technológiai megoldásba ugranának. Egy eszköznek nem szabad diktálnia a szervezet kockázatkezelési folyamatát. Ehelyett a szervezetnek legalább egy évig ki kell alakítania és finomítania a folyamatát, majd meg kell találnia egy olyan eszközt, amely támogatja ezt a folyamatot. Végül is a szoftvernek támogatnia kell a kockázatok racionalizáltabb kezelését az egész szervezetben.
A jelentéstételnek van egy másik módja is. Ez az “informális” jelentéstétel. Hogyan néz ki az informális kockázatbejelentés? Azok a szervezetek, amelyeknek szilárd ERM-folyamata beágyazódott az egész szervezetbe, és erős vezetői támogatással rendelkeznek, keresni fogják a kockázati szakemberek nézőpontját. A kockázati csapat igény szerinti meglátásai, véleményei és perspektívái azok, ahol az ERM valódi értéke megvalósulhat.
Kockázattulajdonosok
A kockázati jelentések utolsó belső célcsoportja a középvezetők és a frontvonalon dolgozó egyéb személyzet lesz, akik valójában a kockázatok tulajdonosai, vagyis a felső vezetés által előírt kockázatcsökkentő intézkedések nyomon követéséért és végrehajtásáért felelős személy(ek).
Bár a jelentéseknek minden szinten megvalósítható információkat kell nyújtaniuk, ez különösen fontos a kockázattulajdonosoknak szóló jelentések esetében.
Ezek a jelentések a legmagasabb szintű részletességet nyújtják a kockázatokra vonatkozóan, beleértve a legfontosabb kockázati mutatókat is. A kockázattulajdonosoknak szóló jelentések a teljesítménymutatókra összpontosítanak, valamint a legfrissebb információkat nyújtják az adott személy felelősségi körébe tartozó összes kockázat értékeléséről. Ez elsőre talán túlterhelőnek tűnhet, de az Ön felelőssége, hogy a jelentések egyszerre legyenek tömörek és pontosak. Ne feledje, hogy a szöveges és vizuális elemek kombinációját használja.
A kockázattulajdonosok jelentéseinek jó vizuális elemére példa a (Excelben elérhető) radardiagram, amely a kockázatértékelés eredményeit a kockázattűrési szintekhez hasonlítja.
A legfontosabb különbség a következő: ahelyett, hogy a jelentést a stratégia kidolgozására vagy módosítására használnák, a kockázattulajdonosok a jelentésben szereplő információkat a szervezet mindennapi működésének tervezésére és költségvetésére használják.
Mint az igazgatósági és felsővezetői szintű jelentések esetében, a formátumot a végfelhasználó szakmai hátteréhez és ERM-ismereteinek szintjéhez kell igazítani.
Regulációs ügynökségek
Az utolsó megemlítendő kockázatjelentési célközönség a releváns szabályozó ügynökségek, amelyek előírják a szervezeteknek a kockázatokról való jelentéstételt. Az Egyesült Államokban a nyilvánosan jegyzett vállalatokat az Értékpapír- és Tőzsdefelügyelet (SEC) kötelezi a legfőbb kockázatokról való beszámolásra. Egy másik példa a kötelező kockázatjelentésre az amerikai biztosítótársaságok állami szintű saját kockázatú szolvenciaértékelése (ORSA) vagy az Európai Unióban a Szolvencia II. jelentés.
Mint korábbi biztosítási szabályozó a saját államomban, Floridában, tanúsíthatom, hogy a szabályozó hatóság számára készített kockázati jelentéseknek egyensúlyt kell teremteniük a vállalat azon igénye között, hogy megfeleljen a szabályozási követelménynek, és a szabályozó hatóság azon igénye között, hogy megértse a vállalat kockázatait. Természetesen a biztosítótársaságnak úgy kell nyilvánosságra hoznia a kockázatokat, hogy ne legyen túlságosan részletes, ami a szabályozói ellenőrzés magasabb szintjét eredményezheti.
A jelen pillanatban az sem világos, hogy a szabályozók mennyire értik meg valóban a vállalati kockázatokat, és ezért mennyire tudják megemészteni az információkat és mélyreható kérdéseket feltenni a jelentéssel kapcsolatban.
A SEC 10-k néven ismert jelentése nem a kockázatok listáját keresi részletes értékelési információkkal, hanem inkább a szervezetet érintő nagy kockázatok elbeszélését.
Ez esetben a legjobb, ha megnézi, hogy mások milyen jelentéseket küldenek, mint például a Walmart, hogy megértse, mit kell tartalmaznia a 10-k jelentésnek, ha a vállalatának be kell nyújtania.
Végezetül…
Meg szeretném ismételni, hogy a kockázati jelentés valóban szervezetfüggő. A jelentés tartalma és formázása számos tényezőtől függ, többek között a felhasználók igényeitől, a célközönség szakmai hátterétől és készségeitől, valamint egyéb, egyénre jellemző tényezőktől. Ennek megértése a kockázati jelentések felhasználóival kapcsolatban kritikus fontosságú annak biztosításához, hogy a kockázatokkal kapcsolatos további megbeszélések elősegítése szempontjából a leghasznosabb jelentések készüljenek.
Ne érezzen nyomást bizonyos elemek beépítésére, különösen, ha a szervezet még nem áll készen ezekre, vagy ha a kockázati folyamat még nem támogatja ezeket az elemeket.
És végül, de nem utolsósorban, ezt már talán kitalálta… A kockázati jelentés nagyon képlékeny. Egy pillanatig se gondolja, hogy a kockázati jelentések elkészítésének módja minden alkalommal ugyanaz lesz.
Ne feledje, hogy a kockázati jelentések folyamata és formátuma az Ön szervezetében egy folyamatosan fejlődő folyamat.
A kockázati jelentések készítése meglehetősen mélyreható téma, de ez az alapkönyv jó alapot adhat ahhoz, hogy mit kell figyelembe vennie a jelentések kidolgozásakor az Ön szervezetében.
Az Ön szervezetének igazgatósági tagjai és vezetői hasznosnak találják a kockázati jelentéseket a stratégiai célokat érintő kockázatok kezelésében?
Megadják-e azt az útmutatást, amelyre Önnek, mint kockázati szakembernek szüksége van ahhoz, hogy a megfelelő információkkal lássa el őket a számukra hasznos módon?
Kíváncsi vagyok az Ön gondolataira és tapasztalataira ezzel a fontos témával kapcsolatban… egyszerűen kommenteljen alább, vagy csatlakozzon a beszélgetéshez a LinkedIn-en, hogy megossza nézőpontját vagy kérdését/kérdéseit.
És ha Ön is küzd azzal, hogy tömör és megvalósítható kockázati jelentéseket dolgozzon ki a szervezete vagy egy szabályozó hatóság számára, látogasson el a tanácsadói weboldalamra (Strategic Decision Solutions), ahol többet megtudhat arról, hogyan segítek a szervezeteknek a kihívások leküzdésében és a hosszú távú siker biztosításában.