- Un meccanismo per assicurare che la leadership, i business manager e gli altri stakeholder prendano decisioni informate sui rischi e adempiano ai doveri di supervisione
- Cos’è il risk reporting e perché è importante?
- Consigli generali per il reporting dei rischi
- 4 Target del Risk Reporting – Quali report dovrebbero includere
- In conclusione…
Un meccanismo per assicurare che la leadership, i business manager e gli altri stakeholder prendano decisioni informate sui rischi e adempiano ai doveri di supervisione
Alla fine della giornata, il processo ERM dovrebbe essere considerato come un ciclo o un ciclo di feedback… cioè, non c’è mai un punto finale definitivo.
E’ come le quattro stagioni dell’anno – non c’è mai un punto finale, solo un ciclo continuo durante l’anno. L’autunno passa all’inverno, l’inverno alla primavera, la primavera all’estate, di nuovo all’autunno, e il ciclo continua come ha fatto per secoli.
Ho discusso altri punti lungo il ciclo ERM come l’identificazione, la valutazione e l’analisi del rischio, più lo sviluppo del processo, in articoli precedenti.
In questo articolo, mi immergerò nell’ultimo punto di questo ciclo – il risk reporting.
Prima di andare avanti, voglio spiegare che questo primer non si occuperà necessariamente di come dovreste preparare i risk report nella vostra organizzazione. Come vedrete nelle prossime sezioni, ci sono molti fattori specifici dell’organizzazione e dell’individuo che entrano in un efficace reporting dei rischi.
Anche se ci saranno alcuni esempi di seguito, questo articolo si concentrerà sugli elementi di un solido report dei rischi e sulle considerazioni basate sui destinatari del vostro report.
Senza ulteriori indugi, voglio iniziare fornendovi una definizione…
Cos’è il risk reporting e perché è importante?
Siccome il risk reporting può variare ampiamente da un’organizzazione all’altra, è difficile trovare una definizione esatta. Tuttavia, il COSO ERM Framework (2017) dice questo sul risk reporting:
Il reporting supporta il personale a tutti i livelli per comprendere le relazioni tra rischio, cultura e performance e per migliorare il processo decisionale nella definizione di strategie e obiettivi, nella governance e nelle operazioni quotidiane.
E come spiega Norman Marks nel suo libro World-Class Risk Management (…una fonte a cui farò riferimento più avanti in questo articolo), la gestione dei rischi dovrebbe essere una parte essenziale della gestione quotidiana e del processo decisionale di un’organizzazione. Tuttavia, è importante che la direzione e il consiglio “facciano il punto” ogni tanto. In questo modo, il consiglio e l’alta direzione sanno che l’organizzazione è sulla buona strada per raggiungere i suoi obiettivi.
Oltre a fare il punto, il reporting dei rischi è importante anche da una prospettiva legale. In passato, un consiglio non doveva necessariamente sapere di un rischio, ma oggi, i consigli non possono affermare che erano semplicemente all’oscuro di un rischio che ha finito per diventare un grosso problema. I membri del consiglio hanno l’obbligo di comprendere i rischi che un’organizzazione deve affrontare e assicurarsi che la gestione li stia affrontando in modo appropriato.
Nonostante l’importanza del reporting dei rischi, il livello di soddisfazione con “…la natura e la portata del reporting interno degli indicatori di rischio chiave che potrebbero essere utili per il monitoraggio dei rischi emergenti da parte dei dirigenti senior” è piuttosto basso, secondo il rapporto 2018 State of Risk Oversight della NC State University. Oltre il 40% degli intervistati afferma di essere “per niente” o “minimamente” soddisfatto della qualità del reporting che ricevono dal loro personale addetto al rischio.
Perché questo?
Due motivi principali (non preoccupatevi – li discuterò in dettaglio più avanti):
1. Non comprendendo il background dei destinatari o la loro conoscenza dell’ERM, i report sui rischi sono o opprimenti (troppo dettagliati) o così di alto livello da non fornire alcuna informazione reale.
2. Il report è un esercizio di documentazione senza approfondimenti.
Un report che fornisce semplicemente una lista di rischi senza alcun approfondimento in tempo reale e prospettive sul raggiungimento degli obiettivi critici significa essenzialmente che il report sui rischi è una bella immagine che documenta ciò che la gente già sa. Gli elenchi dei rischi sono anche obsoleti piuttosto rapidamente, poiché ogni decisione modifica i rischi esistenti o ne crea di nuovi.
Il reporting sui rischi che elenca semplicemente i rischi è uno dei molti modi in cui l’ERM può cadere nella temuta trappola del “check-the-box”. I membri del consiglio di amministrazione e i dirigenti alla fine inizieranno a mettere in discussione il valore dell’ERM in questa situazione.
Un report sui rischi a vero valore aggiunto fornirà in tempo reale intuizioni e prospettive sui rischi per gli obiettivi. Tuttavia, avere informazioni tempestive può essere impegnativo in un ambiente formale, quindi siate cauti su quanto tempo ci vuole per raccogliere, compilare, analizzare e riportare le informazioni. Le organizzazioni con processi ERM più robusti usano il reporting dei rischi come un trampolino di lancio per ulteriori discussioni sulla strategia, la mitigazione e altro ancora.
Consigli generali per il reporting dei rischi
Prima ho accennato brevemente a come le esigenze di un risk report variano in base al pubblico. Tuttavia, ci sono alcuni consigli generali per assicurare che i vostri rapporti sui rischi siano utilizzabili e facili da consumare. Questi suggerimenti includono:
- Struttura del report – In qualunque modo si sviluppino i report sui rischi nella vostra organizzazione, devono essere innanzitutto intuitivi. Non si dovrebbe insegnare al pubblico come leggere e agire sul report. Se lo fai, il report è troppo complesso e/o confuso. Considerate anche il background degli utenti finali – quanto conoscono le pratiche di gestione del rischio aziendale? Hanno più un background commerciale, tecnico o legale?
- Terminologia del rischio – Una ragione per cui molte organizzazioni lottano con il reporting del rischio ha a che fare con il linguaggio usato nei report. Come spiego qui, è importante che i professionisti dell’ERM usino un linguaggio coerente con l’impresa invece di termini tecnici che solo pochi capiranno. La maggior parte degli utenti dei report sui rischi non capirà le sfumature del punteggio del rischio e di altre misurazioni, quindi questo deve essere preso in considerazione.
- I report devono essere fattibili – Una delle lamentele comuni dei report sui rischi è che forniscono semplicemente un elenco di rischi senza ulteriori analisi. Come spiegato da Norman Marks, una lista di rischi è utile quando si gestiscono i rischi, ma ciò di cui hanno bisogno gli utenti del report, specialmente i decisori, è capire il rischio e il suo impatto sugli obiettivi in modo cumulativo, non uno per uno. Pensate di più alla causa (o alle cause) del rischio, agli effetti sugli obiettivi aziendali, a quanto sia pervasivo in tutta l’organizzazione, se c’è spazio per prendere più rischi e se ci sono opportunità per l’organizzazione se questo rischio si verifica.
Nota: L’aggregazione del rischio è un modo avanzato di capire come più rischi cumulativamente influenzano gli obiettivi, ma dato che la maggior parte delle pratiche probabilmente coinvolgono la modellazione avanzata del computer, l’aggregazione del rischio non dovrebbe essere una priorità fino a quando non avete definito il processo di reporting del rischio per la vostra organizzazione.
Questi consigli generali sul reporting del rischio si applicano indipendentemente dal pubblico. Alla fine, si riduce tutto alla chiarezza… qualsiasi testo o elemento visivo nei report sui rischi deve essere abbastanza chiaro da permettere all’utente di comprenderli senza dover pensare troppo, e quindi essere in grado di prendere decisioni rapidamente sulla base di quelle informazioni.
4 Target del Risk Reporting – Quali report dovrebbero includere
Il fattore chiave di come i report sui rischi prendono forma dipende da chi è l’utente finale. Un report sui rischi per un comitato a livello di consiglio di amministrazione avrà un aspetto molto diverso da quello di un risk owner.
Per esempio, il reporting sui rischi per il consiglio di amministrazione sarà più “grande” e si concentrerà sui rischi per il raggiungimento degli obiettivi dell’organizzazione. La struttura e il dettaglio dei risk report diventeranno gradualmente più granulari o focalizzati su rischi specifici più si scende nella scala organizzativa. E i report sui rischi per le agenzie di regolamentazione hanno una serie di considerazioni diverse dai consumatori interni.
Continua a leggere per saperne di più su questi quattro destinatari e su ciò che devono ottenere da qualsiasi report sui rischi.
Consiglio e comitato rischi a livello di consiglio
In breve, il consiglio o un comitato rischi a livello di consiglio ha bisogno di un report basato sulla performance che si concentri sul raggiungimento degli obiettivi. Le responsabilità del consiglio o del comitato di rischio a livello di consiglio sono spesso delegate al comitato di audit.
Cosa cerca il consiglio da un rapporto sui rischi? La garanzia che l’amministratore delegato e gli altri manager esecutivi comprendano i rischi per gli obiettivi e stiano prendendo le misure appropriate per affrontare questi rischi.
Perché? Assicura che il consiglio abbia le informazioni di cui ha bisogno per capire i rischi per raggiungere gli obiettivi e adempiere alle sue responsabilità di supervisione.
Cosa? Questo rapporto sarà di alto livello e dovrebbe indurre ulteriori discussioni su come procedere, sia che si tratti di azioni di mitigazione o di un cambiamento di strategia.
La maggior parte delle organizzazioni prepara un rapporto completo almeno annualmente, ma questo lasso di tempo significa che le informazioni devono essere aggiornate proprio prima di questo rapporto. (Altrimenti, le informazioni vecchie di 6 mesi sono inutili.)
Gli intervistati in un sondaggio della NC State avevano un filo conduttore comune in ciò che i loro rapporti includevano. La maggior parte delle informazioni contenute nei rapporti era basata sul testo con elementi grafici/visivi, come grafici o mappe di calore che giocavano un ruolo di supporto. Gli elementi visivi giocano un ruolo nell’inquadrare le questioni critiche e nel mostrare il livello di esposizione ai rischi principali.
Qui ci sono un paio di esempi di mappe di calore da un progetto precedente. Anche se fornisco questo esempio, ci sono dei limiti alle mappe di calore che voglio discutere in un post futuro…
La grande maggioranza degli intervistati spiega anche che nelle presentazioni a livello di consiglio di amministrazione riporta solo i 10-15 rischi principali dell’azienda.
Non posso sottolinearlo abbastanza: queste relazioni al consiglio dovrebbero essere di natura generale e includere solo i rischi principali.
In alcuni casi, il consiglio può richiedere un follow-up o “deep dive” su qualsiasi rischio di particolare preoccupazione a cadenza trimestrale o persino mensile se il rischio è abbastanza significativo. Questa responsabilità spetta realmente alle funzioni di business nell’impresa se il rischio è veramente incorporato in tutta l’organizzazione. Quando i dirigenti dell’IT, del marketing, della finanza, dell’ufficio legale o delle risorse umane presentano al consiglio, dovrebbero prendere l’iniziativa di riferire sui rischi chiave e sulla loro valutazione di tali rischi.
D’altra parte, i comitati di rischio e/o di audit a livello di consiglio cercheranno rapporti completi dal team di gestione del rischio, poiché in molti casi, questi sono i forum in cui si svolgeranno discussioni dettagliate sul percorso futuro. Un comitato come questo svolgerà anche la funzione di supervisione per la gestione del rischio.
Guardiamo la Southwest Airlines per un esempio. I rapporti sui rischi per il consiglio di amministrazione della Southwest hanno 4 livelli di informazione:
- Identifica in modo proattivo i maggiori rischi
- Sottolinea tutti i piani d’azione per questi rischi (passati, presenti e futuri)
- Sottolinea tutti i piani d’azione per questi rischi, e futuri)
- Elenca i rischi “accettati” che sono al di fuori del controllo dell’organizzazione
- Esponi l’impatto che questi grandi rischi potrebbero avere sul raggiungimento degli obiettivi
Gestione superiore
I dirigenti come il CEO e altri avranno molti degli stessi requisiti del rapporto sui rischi del consiglio. Tuttavia, in questo caso, i rapporti dovranno entrare un po’ più nel dettaglio, ma non così tanto che i dirigenti che li leggeranno saranno sopraffatti.
In effetti, i dirigenti si affidano al personale ERM per esaminare i rischi con i proprietari dei rischi e dar loro la priorità secondo le informazioni disponibili. Il personale ERM fornirà poi ai dirigenti una breve lista di rischi e fornirà una guida sulle decisioni che devono essere prese. I componenti delle informazioni sui rischi, come la categoria, l’impatto/la probabilità, la velocità e qualsiasi attività di mitigazione fino ad oggi sono discussi in questi rapporti.
I rapporti sui rischi per il senior management devono anche coprire più di 10-15 rischi individuali e di primo livello menzionati sopra. Affinché la direzione possa adempiere alle sue responsabilità, deve comprendere il livello generale di rischio per un obiettivo. Preso uno alla volta, un rischio potrebbe non essere un grosso problema, ma se “aggregato” insieme potrebbe presentare un’enorme bandiera rossa.
(È importante notare che la vera “aggregazione” è un argomento molto avanzato che non dovrebbe essere tentato mentre si sta ancora sviluppando un processo ERM nella vostra organizzazione.)
ERM può anche raccomandare passi di azione per mitigare i rischi o modificare la strategia sulla base di osservazioni e conoscenze generali.
Alla fine, è responsabilità del management assicurare che i controlli appropriati e altre attività relative al rischio siano in atto.
Un cruscotto di rischio è uno strumento che i dirigenti dei programmi ERM più maturi usano per ottenere le informazioni necessarie per adempiere alle loro responsabilità. La creazione di un cruscotto di rischio può essere fatta manualmente usando Excel (o uno strumento simile), tuttavia, questo è un uso primario del software di rischio. Il software ERM, di cui sono disponibili molte opzioni, includerà indicatori sullo stato dei rischi chiave, dipendenze, impatti e come vengono gestiti. Con una rapida occhiata, il dirigente sarà in grado di vedere il proprietario del rischio, insieme a un grafico riassuntivo dei rischi principali, altri indicatori di rischio chiave e altro ancora.
Gli strumenti visivi come un cruscotto, che può anche essere incluso nei rapporti a livello di consiglio, sono un ottimo modo per il vostro pubblico di comprendere rapidamente i dati.
Esempio di cruscotto di rischio per gentile concessione della NC State University
Una parola di cautela però – come discusso da Norman Marks, COSO, da me e da altri leader del rischio, le organizzazioni dovrebbero innanzitutto concentrarsi sulla creazione e sul perfezionamento dei loro processi prima di buttarsi in una soluzione tecnologica. Uno strumento non dovrebbe dettare il processo di rischio in un’organizzazione. Invece, un’organizzazione dovrebbe stabilire e raffinare il proprio processo per almeno un anno, poi trovare uno strumento che supporti quel processo. Dopo tutto, il software dovrebbe sostenere la gestione più snella dei rischi in tutta l’organizzazione.
C’è un altro modo di fare rapporto. Questo è il reporting “informale”. Che aspetto ha il reporting informale dei rischi? Le organizzazioni con un robusto processo ERM che è incorporato in tutta l’organizzazione e ha un forte buy-in esecutivo cercheranno la prospettiva dei professionisti del rischio. Le intuizioni su richiesta, le opinioni e le prospettive del team di rischio è dove il valore reale dell’ERM può essere realizzato.
Proprietari del rischio
L’ultimo pubblico interno per il reporting sui rischi sarà costituito dai manager intermedi e da altro personale in prima linea che possiede effettivamente i rischi, vale a dire l’individuo o gli individui responsabili del monitoraggio e dell’implementazione di qualsiasi azione di mitigazione prescritta dal management superiore.
Anche se i report ad ogni livello dovranno fornire informazioni utilizzabili, questo è particolarmente importante per i report ai proprietari del rischio.
Questi rapporti forniranno anche il massimo livello di dettaglio per quanto riguarda il rischio, compresi gli indicatori di rischio chiave. I rapporti per i proprietari dei rischi si concentreranno sulle metriche di performance, oltre a fornire le informazioni più aggiornate sulla valutazione di tutti i rischi sotto la responsabilità dell’individuo. All’inizio tutto questo può sembrarvi opprimente, ma è vostra responsabilità essere succinti e accurati nei rapporti. Ricordatevi di usare una combinazione di testo ed elementi visivi.
Un esempio di un buon elemento visivo per i report dei risk owner è un grafico a radar (disponibile in Excel), che confronta i risultati della valutazione dei rischi con i livelli di tolleranza del rischio.
Una differenza chiave di questo report è questa: invece di usare il report per sviluppare o modificare la strategia, i risk owner usano le informazioni nei loro report per pianificare e preventivare le operazioni quotidiane dell’organizzazione.
Come nel caso dei report del consiglio di amministrazione e dei dirigenti senior, il formato dovrà essere adattato al background professionale e al livello di conoscenza dell’ERM dell’utente finale.
Agenzie di regolamentazione
L’ultimo pubblico di reporting del rischio da menzionare è qualsiasi agenzia di regolamentazione pertinente che richiede alle organizzazioni di fare un report sui rischi. Le società quotate in borsa negli Stati Uniti sono obbligate dalla Securities and Exchange Commission (SEC) a segnalare i rischi principali. Un altro esempio di reporting del rischio obbligatorio include la valutazione del rischio proprio di solvibilità (ORSA) a livello statale per le compagnie di assicurazione statunitensi o il reporting Solvency II nell’Unione europea.
In qualità di ex regolatore assicurativo nel mio stato natale, la Florida, posso testimoniare che qualsiasi report sui rischi per un regolatore deve bilanciare la necessità della società di soddisfare il requisito normativo e la necessità del regolatore di capire i rischi della società. Naturalmente, la compagnia di assicurazione deve divulgare i rischi senza diventare troppo dettagliata, il che può comportare un livello più alto di controllo da parte dei regolatori.
Al momento attuale, non è nemmeno chiaro quanto bene i regolatori comprendano veramente i rischi aziendali e possano quindi digerire le informazioni e fare domande approfondite sul rapporto.
Il rapporto della SEC, noto come 10-k, non è alla ricerca di un elenco di rischi con informazioni dettagliate di valutazione, ma piuttosto di una narrazione dei grandi rischi per l’organizzazione.
In questo caso, è meglio guardare gli altri che inviano rapporti come questo di Walmart per capire cosa includere in un rapporto 10-k se la vostra azienda è tenuta a presentarne uno.
In conclusione…
Voglio ribadire come il rapporto sui rischi sia davvero specifico dell’organizzazione. Il contenuto di un rapporto e il modo in cui è formattato dipende da una varietà di fattori, comprese le esigenze degli utenti, il background professionale e le competenze del pubblico e altri fattori specifici dell’individuo. Capire questo sugli utenti dei report sui rischi è fondamentale per garantire che vengano prodotti i report più utili per facilitare ulteriori discussioni sui rischi.
Non sentitevi obbligati a includere certi elementi, specialmente se l’organizzazione non è pronta per essi o se il processo di rischio non supporta ancora quegli elementi.
E infine, ma non meno importante, forse l’avrete già capito… Il reporting sui rischi è molto fluido. Non pensate neanche per un momento che il modo in cui preparate i report sui rischi sarà lo stesso ogni volta.
Ricordate solo che il processo e il formato per il reporting sui rischi nella vostra organizzazione è un processo in continua evoluzione.
Il reporting sui rischi è un argomento abbastanza approfondito, ma questo primer dovrebbe fornire una buona base per ciò che dovete considerare quando sviluppate i report nella vostra organizzazione.
I membri del consiglio e i dirigenti della vostra organizzazione trovano i report sui rischi utili per affrontare i rischi degli obiettivi strategici?
Forniscono la guida di cui tu, come professionista del rischio, hai bisogno per fornire loro le giuste informazioni in un modo che sia utile per loro?
Sono interessato a sentire i tuoi pensieri e le tue esperienze su questo importante argomento… commenta qui sotto o unisciti alla conversazione su LinkedIn per condividere la tua prospettiva o le tue domande.
E se state lottando per sviluppare rapporti di rischio concisi e fattibili per la vostra organizzazione o per un’agenzia di regolamentazione, visitate il mio sito di consulenza (Strategic Decision Solutions) per saperne di più su come aiuto le organizzazioni a superare le sfide e garantire il successo a lungo termine.