- Een mechanisme om ervoor te zorgen dat leiderschap, bedrijfsmanagers en andere belanghebbenden risicogeïnformeerde beslissingen nemen en toezichthoudende taken vervullen
- Wat is risicorapportage en waarom is het belangrijk?
- Algemene tips voor risicorapportage
- 4 Doelgroepen voor risicorapportage – Welke rapporten moeten bevatten
- In conclusie…
Een mechanisme om ervoor te zorgen dat leiderschap, bedrijfsmanagers en andere belanghebbenden risicogeïnformeerde beslissingen nemen en toezichthoudende taken vervullen
Op het einde van de dag moet het ERM-proces worden beschouwd als een cyclus of feedback loop … wat betekent dat er nooit een definitief eindpunt is.
Het is als de vier seizoenen van het jaar – er is nooit een eindpunt, alleen een continue lus door het jaar heen. De herfst gaat over in de winter, de winter in de lente, de lente in de zomer, terug naar de herfst, en de cyclus gaat door zoals hij al eeuwenlang heeft gedaan.
Ik heb in eerdere artikelen andere punten van de ERM-lus besproken, zoals risico-identificatie, -beoordeling en -analyse, plus procesontwikkeling.
In dit artikel ga ik dieper in op het laatste punt van deze cyclus – risicorapportage.
Voordat ik verder ga, wil ik uitleggen dat deze inleiding niet noodzakelijkerwijs ingaat op hoe u risicorapportages in uw organisatie moet opstellen. Zoals u in de komende hoofdstukken zult zien, zijn er veel organisatie- en individu-specifieke factoren die een rol spelen bij effectieve risicorapportage.
Hoewel er hieronder enkele voorbeelden zullen worden gegeven, zal dit artikel zich richten op elementen van een solide risicorapportage en overwegingen op basis van voor wie uw rapportage(s) is bedoeld.
Ten overvloede wil ik beginnen met een definitie…
Wat is risicorapportage en waarom is het belangrijk?
Omdat risicorapportage van organisatie tot organisatie sterk kan verschillen, is een exacte definitie moeilijk vast te stellen. Het COSO ERM Framework (2017) zegt echter het volgende over risicorapportage:
Rapportage ondersteunt personeel op alle niveaus om de relaties tussen risico, cultuur en prestaties te begrijpen en om de besluitvorming te verbeteren bij het bepalen van de strategie en doelstellingen, het bestuur en de dagelijkse werkzaamheden.
En zoals Norman Marks uitlegt in zijn boek World-Class Risk Management (… een bron waarnaar ik in dit artikel meer zal verwijzen), zou het beheer van risico’s een essentieel onderdeel moeten zijn van het dagelijks bestuur en de besluitvorming van een organisatie. Het is echter belangrijk dat het management en de raad van bestuur om de zoveel tijd “de balans opmaken”. Op die manier weten het bestuur en het senior management dat de organisatie op koers ligt om haar doelstellingen te bereiken.
Naast het opmaken van de balans is risicorapportage ook belangrijk vanuit juridisch perspectief. In het verleden hoefde een raad van bestuur niet per se op de hoogte te zijn van een risico, maar tegenwoordig kunnen raden van bestuur niet meer beweren dat ze zich niet bewust waren van een risico dat uiteindelijk een groot probleem is geworden. Bestuursleden hebben de plicht om de risico’s voor een organisatie te begrijpen en ervoor te zorgen dat het management ze op de juiste manier aanpakt.
Ondanks het belang van risicorapportage, is de mate van tevredenheid over “…de aard en omvang van interne rapportage van belangrijke risico-indicatoren die nuttig kunnen zijn voor het monitoren van opkomende risico’s door senior executives” vrij laag, volgens het 2018 State of Risk Oversight-rapport van de NC State University. Meer dan 40% van de respondenten beweert dat ze “helemaal niet” of “minimaal” tevreden zijn met de kwaliteit van de rapportage die ze ontvangen van hun risicopersoneel.
Waarom is dit?
Twee belangrijke redenen (maak je geen zorgen – ik zal deze later in meer detail bespreken):
1. Het rapport spreekt niet het juiste publiek aan.
Door de achtergrond van de beoogde ontvangers of hun kennis van ERM niet te begrijpen, zijn risicorapporten ofwel overweldigend (te gedetailleerd) of zo high-level dat ze geen echte informatie bieden.
2. Het rapport is een documentatie-exercitie zonder inzichten.
Een rapport dat simpelweg een lijst met risico’s bevat zonder realtime inzichten en perspectieven op het bereiken van kritieke doelstellingen, betekent in wezen dat het risicorapport een mooi plaatje is dat documenteert wat mensen al weten. Lijsten van risico’s zijn ook vrij snel verouderd, omdat elke beslissing ofwel bestaande risico’s wijzigt of nieuwe creëert.
Risicorapportage die simpelweg een lijst van risico’s bevat, is een van de vele manieren waarop ERM in de gevreesde “check-the-box” val kan lopen. Bestuursleden en leidinggevenden zullen uiteindelijk de waarde van ERM in deze situatie in twijfel gaan trekken.
Een risicorapportage met echte toegevoegde waarde biedt real-time inzichten en perspectieven op risico’s voor doelstellingen. Tijdige informatie kan echter een uitdaging zijn in een formele setting, dus wees voorzichtig met hoeveel tijd het kost om de informatie te verzamelen, samen te stellen, te analyseren en te rapporteren. Organisaties met robuustere ERM-processen gebruiken risicorapportage als springplank voor verdere discussies over strategie, mitigatie, en meer.
Algemene tips voor risicorapportage
Eerder heb ik kort vermeld hoe de behoeften van een risicorapportage variëren afhankelijk van het publiek. Er zijn echter een paar algemene risicorapportagetips om ervoor te zorgen dat uw risicorapporten bruikbaar en gemakkelijk te gebruiken zijn. Deze tips omvatten:
- Structuur van het rapport – Hoe u risicorapporten ook ontwikkelt in uw organisatie, ze moeten in de eerste plaats intuïtief zijn. U zou het publiek niet moeten leren hoe het rapport moet worden gelezen en hoe het actie moet ondernemen. Als u dat wel doet, is het rapport te complex en/of te verwarrend. Denk ook aan de achtergrond van de eindgebruikers – hoeveel weten zij over risicomanagementpraktijken? Hebben ze eerder een zakelijke, technische of juridische achtergrond?
- Risicoterminologie – Een van de redenen waarom veel organisaties moeite hebben met risicorapportage heeft te maken met de taal die in de rapporten wordt gebruikt. Zoals ik hier uitleg, is het voor ERM-professionals belangrijk om taal te gebruiken die consistent is met de onderneming in plaats van technische termen die slechts enkelen zullen begrijpen. De meeste gebruikers van risicorapporten zullen de nuances van risicoscores en andere metingen niet begrijpen, dus hiermee moet rekening worden gehouden.
- Rapporten moeten uitvoerbaar zijn – Een van de veelgehoorde klachten over risicorapporten is dat ze gewoon een lijst met risico’s bevatten zonder verdere analyse. Zoals Norman Marks uitlegt, is een lijst van risico’s nuttig bij het beheer van risico’s, maar wat de gebruikers van het rapport nodig hebben, met name de besluitvormers, is inzicht in de risico’s en de gevolgen ervan voor de doelstellingen op een cumulatieve manier, niet één voor één. Denk meer na over de hoofdoorzaak (-oorzaken) van het risico, de gevolgen voor de bedrijfsdoelstellingen, hoe wijdverbreid het risico is in de organisatie, of er ruimte is om meer risico te nemen en of er kansen zijn voor de organisatie als dit risico zich voordoet.
Note: Risico-aggregatie is een geavanceerde manier om te begrijpen hoe meerdere risico’s cumulatief de doelstellingen beïnvloeden, maar aangezien de meeste praktijken waarschijnlijk geavanceerde computermodellering vereisen, moet risico-aggregatie geen prioriteit zijn totdat u het risicorapportageproces voor uw organisatie hebt vastgesteld.
Deze algemene tips over risicorapportage gelden ongeacht het publiek. Uiteindelijk komt het neer op duidelijkheid … alle tekst of visuele elementen in risicorapporten moeten duidelijk genoeg zijn voor de gebruiker om ze te begrijpen zonder al te veel na te hoeven denken, en vervolgens in staat zijn om snel beslissingen te nemen op basis van die informatie.
4 Doelgroepen voor risicorapportage – Welke rapporten moeten bevatten
De kernfactor in hoe risicorapporten vorm krijgen, hangt af van wie de eindgebruiker is. Een risicorapport voor een comité op directieniveau zal er heel anders uitzien dan een rapport voor een risico-eigenaar.
Risicorapportage voor het bestuur zal bijvoorbeeld meer “big picture” zijn en zich richten op risico’s voor de organisatie om haar doelstellingen te bereiken. De structuur en de details van de risicorapportages worden geleidelijk korreliger of meer gericht op specifieke risico’s naarmate men lager op de organisatieladder komt. En risicorapporten voor regelgevende instanties hebben een groot aantal overwegingen die losstaan van interne consumenten.
Lees verder om meer te weten te komen over deze vier doelgroepen en wat ze uit risicorapporten moeten halen.
Raad van bestuur en risicocomité op bestuursniveau
In het kort heeft de raad of een risicocomité op bestuursniveau een prestatiegericht rapport nodig dat zich richt op het bereiken van doelstellingen. De verantwoordelijkheden van de raad of van een risicocomité op directieniveau worden vaak gedelegeerd aan het auditcomité.
Wat zoekt de raad van bestuur in een risicoverslag? Zekerheid dat de CEO en andere uitvoerende managers de risico’s voor de doelstellingen begrijpen en passende maatregelen nemen om deze risico’s aan te pakken.
Waarom? Zorgt ervoor dat de Raad van Bestuur de informatie heeft die hij nodig heeft om de risico’s voor het bereiken van de doelstellingen te begrijpen en zijn verantwoordelijkheden voor het toezicht te vervullen.
Wat? Dit verslag is van hoog niveau en moet aanzetten tot verdere discussie over hoe verder te gaan, of het nu gaat om risicobeperkende maatregelen of een wijziging van de strategie.
De meeste organisaties stellen ten minste jaarlijks een volledig verslag op, maar dit tijdsbestek betekent dat de informatie vlak voor dit verslag moet worden bijgewerkt. (Anders is informatie die 6 maanden oud is, nutteloos.)
Respondenten op een enquête van NC State hadden een gemeenschappelijke rode draad in wat hun verslagen bevatten. Het grootste deel van de informatie in de rapporten was gebaseerd op tekst met grafische/visuele elementen, zoals grafieken of heat maps die een ondersteunende rol speelden. Visuele elementen spelen een rol bij het kaderen van kritieke kwesties en het tonen van de mate van blootstelling aan toprisico’s.
Hier zijn een paar voorbeelden van heat maps uit een eerder project. Hoewel ik dit voorbeeld geef, zijn er beperkingen aan heat maps die ik in een toekomstige post wil bespreken…
De overgrote meerderheid van de respondenten legt ook uit dat zij in hun presentaties op bestuursniveau alleen verslag doen van de top 10 tot 15 risico’s voor de onderneming.
Ik kan dit niet genoeg benadrukken: deze rapporten aan de raad van bestuur moeten algemeen van aard zijn en alleen de toprisico’s bevatten.
In sommige gevallen kan de raad van bestuur elk kwartaal of zelfs elke maand om een follow-up of “deep dive” vragen over risico’s die van bijzonder belang zijn, als het risico groot genoeg is. Deze verantwoordelijkheid berust echt bij de bedrijfsfuncties in de onderneming als het risico werkelijk in de hele organisatie is ingebed. Wanneer IT-, Marketing-, Finance-, Legal-, of HR-executives aan de Raad van Bestuur presenteren, zouden zij het voortouw moeten nemen bij het rapporteren over de belangrijkste risico’s en hun beoordeling van die risico’s.
Aan de andere kant zullen risico- en/of auditcommissies op bestuursniveau op zoek zijn naar volledige rapporten van het risicomanagementteam, omdat dit in veel gevallen de fora zijn waar gedetailleerde discussies over de te volgen koers zullen plaatsvinden. Een dergelijke commissie zal ook de oversightfunctie voor risicomanagement vervullen.
Laten we eens kijken naar Southwest Airlines voor een voorbeeld. Risicorapporten voor het bestuur van Southwest hebben 4 informatieniveaus:
- Proactief identificeren van de grootste risico’s
- Opstellen van eventuele actieplannen voor deze risico’s (verleden, heden, en toekomst)
- Lijst van “geaccepteerde” risico’s die buiten de controle van de organisatie vallen
- Opgave van de impact die deze grote risico’s kunnen hebben op het bereiken van doelstellingen
Senior Management
Executives zoals de CEO en anderen zullen veel van dezelfde risicorapportage-eisen hebben als de Raad van Bestuur. In dit geval moeten de rapporten echter iets gedetailleerder zijn, maar niet zo gedetailleerd dat leidinggevenden die ze lezen overweldigd raken.
In feite vertrouwen leidinggevenden op ERM-medewerkers om risico’s met risico-eigenaren door te lichten en ze te prioriteren op basis van beschikbare informatie. Het ERM-personeel verstrekt de leidinggevenden dan een korte lijst van risico’s en geeft advies over de te nemen besluiten. Componenten van risico-informatie, zoals categorie, impact/waarschijnlijkheid, snelheid en eventuele mitigatie-activiteiten tot op heden worden in deze rapporten besproken.
Risicorapporten aan het senior management moeten ook meer omvatten dan 10-15 individuele, top-tier risico’s die hierboven zijn genoemd. Om het management in staat te stellen zijn verantwoordelijkheden na te komen, moet het inzicht hebben in het algehele risiconiveau voor een doelstelling. Een voor een kan een risico niet veel voorstellen, maar wanneer het “samengevoegd” wordt, kan het een enorme rode vlag zijn.
(Het is belangrijk op te merken dat echte “samenvoeging” een zeer geavanceerd onderwerp is dat niet moet worden geprobeerd terwijl u nog bezig bent met het ontwikkelen van een ERM-proces in uw organisatie.)
ERM kan ook actiestappen aanbevelen om risico’s te beperken of de strategie aan te passen op basis van observaties en algemene kennis.
Uiteindelijk is het de verantwoordelijkheid van het management om ervoor te zorgen dat de juiste controles en andere risicogerelateerde activiteiten aanwezig zijn.
Een risicodashboard is één hulpmiddel dat leidinggevenden in meer volwassen ERM-programma’s gebruiken om de informatie te krijgen die ze nodig hebben om hun verantwoordelijkheden te vervullen. Het creëren van een risicodashboard kan handmatig worden gedaan met behulp van Excel (of een vergelijkbaar hulpmiddel), maar dit is een primair gebruik van risicosoftware. ERM software, waarvan er vele opties beschikbaar zijn, zal indicatoren bevatten over de status van de belangrijkste risico’s, afhankelijkheden, impacts, en hoe ze worden behandeld. Met een snelle blik, zal de leidinggevende in staat zijn om de risico-eigenaar te zien, samen met een overzichtsgrafiek van de toprisico’s, andere belangrijke risico-indicatoren, en nog veel meer.
Visuele hulpmiddelen zoals een dashboard, dat ook kan worden opgenomen in rapporten op bestuursniveau, zijn een geweldige manier voor uw publiek om snel gegevens te begrijpen.
Voorbeeld van een risicodashboard met dank aan de NC State University
Eén waarschuwing – zoals Norman Marks, COSO, ikzelf en andere risk thought leaders hebben besproken, moeten organisaties zich eerst richten op het vaststellen en verfijnen van hun processen voordat ze in een technologische oplossing springen. Een instrument mag het risicoproces in een organisatie niet dicteren. In plaats daarvan moet een organisatie minstens een jaar lang haar processen vaststellen en verfijnen, en dan een tool vinden die dat proces ondersteunt. De software moet immers het meer gestroomlijnde beheer van risico’s in de hele organisatie ondersteunen.
Er is nog een andere manier van rapporteren. Dat is “informele” rapportage. Hoe ziet informele risicorapportage eruit? Organisaties met een robuust ERM-proces dat in de hele organisatie is verankerd en een sterke executive buy-in heeft, zullen het perspectief van risicoprofessionals zoeken. De on-demand inzichten, meningen en perspectieven van het risicoteam is waar de echte waarde van ERM kan worden gerealiseerd.
Risico-eigenaren
Het laatste interne publiek voor risicorapportage zijn de middenmanagers en ander personeel in de frontlinie die feitelijk eigenaar zijn van de risico’s, dat wil zeggen de persoon of personen die verantwoordelijk zijn voor het monitoren en uitvoeren van eventuele mitigatie-acties die door het hoger management worden voorgeschreven.
Hoewel rapporten op elk niveau actiegerichte informatie zullen moeten bieden, is dit vooral belangrijk voor rapporten aan risico-eigenaren.
Deze verslagen zullen ook het hoogste niveau van detail met betrekking tot risico’s bieden, met inbegrip van belangrijke risico-indicatoren. De rapporten aan de risico-eigenaars zullen zich toespitsen op prestatiecijfers en de meest actuele informatie verschaffen over de beoordeling van alle risico’s die onder de verantwoordelijkheid van de betrokkene vallen. Dit kan in het begin overweldigend lijken, maar het is uw verantwoordelijkheid om zowel beknopt als nauwkeurig te zijn in de rapporten. Vergeet niet een combinatie van tekst en visuele elementen te gebruiken.
Een voorbeeld van een goed visueel element voor rapporten van risico-eigenaren is een radardiagram (beschikbaar in Excel), waarin de resultaten van de risicobeoordeling worden vergeleken met de tolerantieniveaus voor risico’s.
Een belangrijk verschil is dit rapport: in plaats van het rapport te gebruiken om een strategie te ontwikkelen of te wijzigen, gebruiken risico-eigenaren de informatie in hun rapporten om de dagelijkse activiteiten van de organisatie te plannen en te begroten.
Zoals het geval is met rapporten op bestuurs- en senior directieniveau, zal het formaat moeten worden afgestemd op de professionele achtergrond en het niveau van ERM-kennis van de eindgebruiker.
Regulerende instanties
De laatste doelgroep voor risicorapportage die moet worden genoemd, zijn alle relevante regelgevende instanties die organisaties verplichten over risico’s te rapporteren. Beursgenoteerde bedrijven in de VS zijn door de Securities and Exchange Commission (SEC) verplicht om over toprisico’s te rapporteren. Een ander voorbeeld van verplichte risicorapportage is de Own Risk Solvency Assessment (ORSA) op staatsniveau voor Amerikaanse verzekeringsmaatschappijen of Solvency II-rapportage in de Europese Unie.
Als voormalig toezichthouder op verzekeringen in mijn thuisstaat Florida, kan ik bevestigen dat elke risicorapportage voor een toezichthouder een evenwicht moet vinden tussen de behoefte van het bedrijf om aan de wettelijke vereiste te voldoen en de behoefte van de toezichthouder om de risico’s van het bedrijf te begrijpen. Natuurlijk moet de verzekeringsmaatschappij risico’s onthullen zonder te gedetailleerd te worden, wat kan resulteren in een hoger niveau van controle door de toezichthouders.
Op dit moment is het ook onduidelijk hoe goed toezichthouders bedrijfsrisico’s echt begrijpen en dus informatie kunnen verteren en diepgaande vragen kunnen stellen over het rapport.
Het rapport van de SEC, bekend als de 10-k, is niet op zoek naar een lijst van risico’s met gedetailleerde beoordelingsinformatie, maar eerder naar een verhaal van de grote risico’s voor de organisatie.
In dit geval is het het beste om te kijken naar anderen die rapporten sturen, zoals dit van Walmart, om te begrijpen wat moet worden opgenomen in een 10-k-rapport als uw bedrijf verplicht is om er een in te dienen.
In conclusie…
Ik wil herhalen hoe risicorapportage echt organisatiespecifiek is. De inhoud van een rapport en hoe het is geformatteerd, hangt af van een verscheidenheid aan factoren, waaronder de behoeften van de gebruikers, de professionele achtergrond en vaardigheden van het publiek en andere individu-specifieke factoren. Inzicht in de gebruikers van risicorapporten is van cruciaal belang om ervoor te zorgen dat de meest nuttige rapporten voor het faciliteren van verdere discussie over risico’s worden geproduceerd.
Voel je niet onder druk gezet om bepaalde elementen op te nemen, vooral als de organisatie er nog niet klaar voor is of als het risicoproces die elementen nog niet ondersteunt.
En last but not least, je hebt dit nu misschien al geraden…Risicorapportage is erg veranderlijk. Denk geen moment dat de manier waarop u risicorapportages opstelt elke keer hetzelfde zal zijn.
Bedenk dat het proces en de indeling voor risicorapportage in uw organisatie een proces is dat voortdurend in ontwikkeling is.
Risicorapportage is een vrij diepgaand onderwerp, maar deze primer moet een goede basis bieden voor wat u in overweging moet nemen bij het ontwikkelen van rapportages in uw organisatie.
Vinden bestuursleden en leidinggevenden in uw organisatie risicorapportages nuttig bij het adresseren van risico’s voor strategische doelstellingen?
Bieden ze de begeleiding die u, als risicoprofessional, nodig hebt om hen van de juiste informatie te voorzien op een manier die nuttig voor hen is?
Ik ben benieuwd naar uw gedachten en ervaringen over dit belangrijke onderwerp…reageer hieronder of doe mee aan het gesprek op LinkedIn om uw perspectief of vraag (en) te delen.
En als u worstelt met het ontwikkelen van beknopte en bruikbare risicorapporten voor uw organisatie of een regelgevende instantie, bezoek dan mijn advieswebsite (Strategic Decision Solutions) om meer te weten te komen over hoe ik organisaties help uitdagingen te overwinnen en succes op de lange termijn te verzekeren.