The Ultimate Primer for Effective Risk Reporting

Mechanizm zapewniający kierownictwu, menedżerom biznesowym i innym interesariuszom podejmowanie decyzji opartych na analizie ryzyka oraz wypełnianie obowiązków nadzorczych

Na koniec dnia proces ERM powinien być postrzegany jako cykl lub pętla sprzężenia zwrotnego… co oznacza, że nigdy nie ma ostatecznego punktu końcowego.

To tak jak z czterema porami roku – nigdy nie ma punktu końcowego, tylko ciągła pętla przez cały rok. Jesień przechodzi do zimy, zima do wiosny, wiosna do lata, z powrotem do jesieni, a cykl trwa tak jak od wieków.

W poprzednich artykułach omówiłem inne punkty w pętli ERM, takie jak identyfikacja, ocena i analiza ryzyka, plus rozwój procesów.

Zanim przejdę dalej, chciałbym wyjaśnić, że ten elementarz niekoniecznie będzie dotyczył tego, jak należy przygotowywać raporty ryzyka w organizacji. Jak zobaczysz w nadchodzących rozdziałach, istnieje wiele czynników specyficznych dla organizacji i poszczególnych osób, które wpływają na efektywne raportowanie ryzyka.

Pomimo, że poniżej będzie kilka przykładów, ten artykuł skupi się na elementach solidnego raportu ryzyka i rozważaniach opartych na tym, dla kogo przeznaczony jest raport(y).

Bez dalszych ceregieli, chciałbym zacząć od przedstawienia definicji…

Co to jest raportowanie ryzyka i dlaczego jest ważne?

Ponieważ raportowanie ryzyka może się bardzo różnić w zależności od organizacji, trudno jest ustalić dokładną definicję. Jednak COSO ERM Framework (2017) mówi o raportowaniu ryzyka w następujący sposób:

Raportowanie wspiera personel na wszystkich poziomach w zrozumieniu związków między ryzykiem, kulturą i wynikami oraz w usprawnieniu procesu podejmowania decyzji w zakresie ustalania strategii i celów, zarządzania i codziennych operacji.

I jak wyjaśnia Norman Marks w swojej książce World-Class Risk Management (… źródło, do którego będę się odwoływał w dalszej części artykułu), zarządzanie ryzykiem powinno być istotną częścią codziennego zarządzania i podejmowania decyzji w organizacji. Ważne jest jednak, aby kierownictwo i zarząd co jakiś czas dokonywały „bilansu”. W ten sposób zarząd i kierownictwo wyższego szczebla wiedzą, że organizacja jest na dobrej drodze do osiągnięcia swoich celów.

Poza podsumowaniem, raportowanie ryzyka jest również ważne z perspektywy prawnej. W przeszłości Zarząd nie musiał koniecznie wiedzieć o ryzyku, ale dzisiaj Zarząd nie może twierdzić, że po prostu nie wiedział o ryzyku, które stało się dużym problemem. Członkowie rady mają obowiązek zrozumieć ryzyka, przed którymi stoi organizacja, i upewnić się, że kierownictwo zajmuje się nimi w odpowiedni sposób.

Pomimo znaczenia raportowania ryzyka, poziom zadowolenia z „…charakteru i zakresu wewnętrznego raportowania kluczowych wskaźników ryzyka, które mogą być przydatne do monitorowania pojawiających się ryzyk przez kadrę kierowniczą wyższego szczebla” jest raczej niski, zgodnie z raportem 2018 State of Risk Oversight z NC State University. Ponad 40% respondentów twierdzi, że są „wcale” lub „minimalnie” zadowoleni z jakości raportowania, jakie otrzymują od swoich pracowników zajmujących się ryzykiem.

Dlaczego tak jest?

Dwa główne powody (nie martw się – omówię je bardziej szczegółowo później):

1. Raport nie przemawia do właściwej grupy odbiorców.

Bez zrozumienia kontekstu odbiorców lub ich wiedzy na temat ERM, raporty na temat ryzyka są albo przytłaczające (zbyt szczegółowe), albo tak wysokopoziomowe, że nie dostarczają żadnych prawdziwych informacji.

2. Raport jest ćwiczeniem dokumentacyjnym bez wglądu.

Raport zawierający jedynie listę ryzyk bez wglądu w czasie rzeczywistym i perspektywy osiągnięcia krytycznych celów zasadniczo oznacza, że raport na temat ryzyka jest ładnym obrazkiem dokumentującym to, co ludzie już wiedzą. Listy ryzyk są również dość szybko nieaktualne, ponieważ każda decyzja albo modyfikuje istniejące ryzyka, albo tworzy nowe.

Raportowanie ryzyka, które po prostu wymienia ryzyka, jest jednym z kilku sposobów, w jaki ERM może wpaść w straszną pułapkę „check-the-box”. Członkowie zarządu i kadra kierownicza zaczną w końcu kwestionować wartość ERM w takiej sytuacji.

Prawdziwy raport o ryzyku przynoszący wartość dodaną zapewni wgląd w czasie rzeczywistym i perspektywę ryzyka dla celów. Jednak posiadanie aktualnych informacji może być wyzwaniem w warunkach formalnych, dlatego należy zachować ostrożność, jeśli chodzi o ilość czasu potrzebnego na zebranie, skompilowanie, przeanalizowanie i przekazanie informacji. Organizacje o bardziej rozbudowanych procesach ERM wykorzystują raportowanie ryzyka jako punkt wyjścia do dalszych dyskusji na temat strategii, ograniczania ryzyka i nie tylko.

Ogólne wskazówki dotyczące raportowania ryzyka

Poprzednio krótko wspomniałem, że potrzeby raportu na temat ryzyka będą się różnić w zależności od odbiorców. Istnieje jednak kilka ogólnych wskazówek dotyczących raportowania ryzyka, które zapewnią, że raporty na temat ryzyka będą przydatne i łatwe do wykorzystania. Wskazówki te obejmują:

• Struktura raportu – Niezależnie od tego, jak opracujesz raporty dotyczące ryzyka w swojej organizacji, muszą one być przede wszystkim intuicyjne. Nie powinieneś uczyć odbiorców, jak czytać i podejmować działania na podstawie raportu. Jeśli to zrobisz, raport będzie zbyt złożony i/lub zbyt zagmatwany. Należy również wziąć pod uwagę pochodzenie użytkowników końcowych – jak dużo wiedzą o praktykach zarządzania ryzykiem w przedsiębiorstwie? Czy mają wykształcenie bardziej biznesowe, techniczne czy prawne?

• Terminologia dotycząca ryzyka – Jednym z powodów, dla których wiele organizacji ma problemy z raportowaniem ryzyka, jest język używany w raportach. Jak wyjaśniam tutaj, ważne jest, aby specjaliści ERM używali języka spójnego z przedsiębiorstwem, a nie terminów technicznych, które będą zrozumiałe tylko dla nielicznych. Większość użytkowników raportów o ryzyku nie będzie rozumieć niuansów punktacji ryzyka i innych pomiarów, więc należy wziąć to pod uwagę.

• Raporty muszą umożliwiać podjęcie działań – Jednym z powszechnych zarzutów dotyczących raportów o ryzyku jest to, że po prostu dostarczają one listę ryzyk bez żadnej dalszej analizy. Jak wyjaśnia Norman Marks, lista ryzyk jest przydatna w zarządzaniu ryzykiem, ale użytkownicy raportu, zwłaszcza decydenci, potrzebują zrozumieć ryzyko i jego wpływ na cele w sposób łączny, a nie pojedynczo. Należy się bardziej zastanowić nad pierwotną przyczyną (przyczynami) ryzyka, skutkami dla celów biznesowych, tym, jak bardzo jest ono rozpowszechnione w całej organizacji, czy jest miejsce na podjęcie większego ryzyka i czy są jakieś szanse dla organizacji w przypadku wystąpienia tego ryzyka.

Uwaga: Agregacja ryzyka jest zaawansowanym sposobem zrozumienia, w jaki sposób wiele ryzyk wpływa na cele, ale ponieważ większość praktyk prawdopodobnie wymaga zaawansowanego modelowania komputerowego, agregacja ryzyka nie powinna być priorytetem, dopóki nie dopracujesz procesu raportowania ryzyka dla swojej organizacji.

Te ogólne wskazówki dotyczące raportowania ryzyka mają zastosowanie niezależnie od odbiorców. W ostatecznym rozrachunku wszystko sprowadza się do przejrzystości… każdy tekst lub elementy wizualne w raportach na temat ryzyka muszą być wystarczająco jasne, aby użytkownik mógł je zrozumieć bez konieczności długiego zastanawiania się, a następnie mógł szybko podejmować decyzje w oparciu o te informacje.

4 Odbiorcy raportów na temat ryzyka – co powinny zawierać raporty

Podstawowy czynnik wpływający na kształt raportów na temat ryzyka zależy od tego, kim jest użytkownik końcowy. Raport na temat ryzyka dla komitetu na poziomie zarządu będzie wyglądał znacznie inaczej niż raport dla właściciela ryzyka.

Na przykład, raporty na temat ryzyka dla zarządu będą bardziej „big picture” i będą koncentrować się na ryzykach dla osiągnięcia celów organizacji. Struktura i szczegółowość raportów dotyczących ryzyka będzie stopniowo stawała się bardziej ziarnista lub skoncentrowana na konkretnych ryzykach, im niżej w hierarchii organizacyjnej. I raporty ryzyka dla agencji regulacyjnych mają wiele rozważań odrębnych od konsumentów wewnętrznych.

Kontynuuj czytanie, aby dowiedzieć się więcej o tych czterech odbiorcach i czego potrzebują od wszelkich raportów ryzyka.

Rada i komitet ds. ryzyka na poziomie rady

W skrócie, rada lub komitet ds. ryzyka na poziomie rady potrzebuje raportu opartego na wynikach, który koncentruje się na osiąganiu celów. Obowiązki rady nadzorczej lub komitetu ds. ryzyka na szczeblu rady nadzorczej są często delegowane do komitetu ds. audytu.

Czego rada nadzorcza oczekuje od raportu na temat ryzyka? Zapewnienia, że dyrektor generalny i inni menedżerowie wykonawczy rozumieją ryzyko związane z realizacją celów i podejmują odpowiednie działania w celu wyeliminowania tego ryzyka.

Dlaczego? Zapewnienie Zarządowi informacji, których potrzebuje, aby zrozumieć ryzyka związane z realizacją celów i wypełnić swoje obowiązki nadzorcze.

Co? Raport ten będzie miał charakter ogólny i powinien skłonić do dalszej dyskusji na temat sposobu postępowania, niezależnie od tego, czy chodzi o działania łagodzące, czy o zmianę strategii.

Większość organizacji przygotowuje pełny raport co najmniej raz w roku, ale takie ramy czasowe oznaczają, że informacje muszą być aktualizowane tuż przed tym raportem. (W przeciwnym razie, informacje sprzed 6 miesięcy są bezużyteczne.)

Respondenci ankiety przeprowadzonej przez NC State mieli wspólny wątek w tym, co zawierały ich raporty. Większość informacji zawartych w raportach była oparta na tekście, a elementy graficzne/wizualne, takie jak wykresy lub mapy cieplne, odgrywały rolę pomocniczą. Elementy wizualne odgrywają rolę w tworzeniu ram dla krytycznych kwestii i pokazują poziom narażenia na największe ryzyka.

Tutaj znajduje się kilka przykładów map cieplnych z poprzedniego projektu. Chociaż podaję ten przykład, istnieją ograniczenia map cieplnych, które chcę omówić w przyszłym wpisie…

Zdecydowana większość respondentów wyjaśnia również, że w swoich prezentacjach na poziomie zarządu informuje tylko o 10 do 15 największych ryzykach dla przedsiębiorstwa.

Nie mogę tego wystarczająco podkreślić: te raporty dla zarządu powinny mieć charakter ogólny i zawierać tylko najważniejsze ryzyka.

W niektórych przypadkach, zarząd może zażądać kontynuacji lub „dogłębnego przeanalizowania” wszelkich ryzyk budzących szczególne obawy co kwartał lub nawet co miesiąc, jeśli ryzyko jest wystarczająco istotne. Jeśli ryzyko jest rzeczywiście zakorzenione w całej organizacji, odpowiedzialność ta spoczywa na funkcjach biznesowych przedsiębiorstwa. Kiedy dyrektorzy działów IT, marketingu, finansów, prawnego lub kadr przedstawiają raporty zarządowi, powinni być liderami w zakresie raportowania kluczowych ryzyk i ich oceny.

Z drugiej strony, komitety ds. ryzyka i/lub audytu na poziomie zarządu będą oczekiwać pełnych raportów od zespołu zarządzania ryzykiem, ponieważ w wielu przypadkach są to fora, na których odbywają się szczegółowe dyskusje na temat dalszych działań. Taki komitet będzie również pełnił funkcję nadzorczą nad zarządzaniem ryzykiem.

Patrzmy na przykład na Southwest Airlines. Raporty dotyczące ryzyka dla zarządu w Southwest mają 4 poziomy informacji:

1. Proaktywna identyfikacja największych ryzyk
2. Określenie wszelkich planów działania dla tych ryzyk (przeszłych, obecnych, i przyszłe)
3. Wykazać „akceptowane” ryzyka, które są poza kontrolą organizacji
4. Określić wpływ, jaki te duże ryzyka mogą mieć na osiąganie celów

Zarządzanie wyższego szczebla

Wykonawcy, tacy jak dyrektor generalny i inni, będą mieli wiele z tych samych wymagań dotyczących raportów o ryzyku, co zarząd. Jednak w tym przypadku raporty będą musiały być nieco bardziej szczegółowe, ale nie na tyle, aby czytający je członkowie kierownictwa byli przytłoczeni.

W rzeczywistości członkowie kierownictwa polegają na pracownikach ERM, którzy weryfikują ryzyka wraz z właścicielami ryzyk i nadają im priorytety na podstawie dostępnych informacji. Pracownicy ERM dostarczają następnie kadrze kierowniczej krótką listę ryzyk i udzielają wskazówek dotyczących decyzji, które należy podjąć. W raportach tych omawiane są składniki informacji o ryzyku, takie jak kategoria, wpływ/prawdopodobieństwo, prędkość oraz wszelkie dotychczasowe działania łagodzące. Raporty dotyczące ryzyka dla kierownictwa wyższego szczebla muszą również obejmować więcej niż 10-15 pojedynczych, najważniejszych ryzyk wymienionych powyżej. Aby kierownictwo mogło wypełniać swoje obowiązki, musi rozumieć ogólny poziom ryzyka dla danego celu. Biorąc pod uwagę pojedynczo, ryzyko może nie być wielkim problemem, ale kiedy jest „zagregowane” razem, może stanowić ogromną czerwoną flagę.

(Ważne jest, aby zauważyć, że prawdziwa „agregacja” jest bardzo zaawansowanym tematem, który nie powinien być próbowany, kiedy wciąż rozwijasz proces ERM w swojej organizacji.)

ERM może również rekomendować kroki działania w celu złagodzenia ryzyk lub modyfikacji strategii w oparciu o obserwacje i ogólną wiedzę.

Na koniec, to kierownictwo jest odpowiedzialne za zapewnienie, że odpowiednie kontrole i inne działania związane z ryzykiem zostały wdrożone.

Przegląd ryzyka jest jednym z narzędzi, które kierownictwo w bardziej dojrzałych programach ERM wykorzystuje do uzyskania informacji potrzebnych do wypełnienia swoich obowiązków. Tworzenie tablicy ryzyka można wykonać ręcznie przy użyciu programu Excel (lub podobnego narzędzia), jednak jest to podstawowe zastosowanie oprogramowania do zarządzania ryzykiem. Oprogramowanie ERM, spośród wielu dostępnych opcji, będzie zawierało wskaźniki dotyczące statusu kluczowych ryzyk, zależności, wpływu i sposobu ich obsługi. Za pomocą szybkiego spojrzenia, wykonawczy będzie w stanie zobaczyć właściciela ryzyka, wraz z wykresem podsumowującym głównych ryzyk, innych kluczowych wskaźników ryzyka i więcej.

Wizualne narzędzia, takie jak pulpit, które mogą być również zawarte w raportach na poziomie zarządu, są doskonałym sposobem dla publiczności, aby szybko zrozumieć dane.

Jedno słowo ostrzeżenia – jak zostało to omówione przez Normana Marksa, COSO, mnie i innych liderów myśli o ryzyku, organizacje powinny najpierw skupić się na ustanowieniu i udoskonaleniu swoich procesów, zanim wskoczą do rozwiązania technologicznego. Narzędzie nie powinno dyktować procesu ryzyka w organizacji. Zamiast tego organizacja powinna ustanowić i udoskonalać swoje procesy przez co najmniej rok, a następnie znaleźć narzędzie, które będzie wspierać ten proces. W końcu oprogramowanie powinno wspierać bardziej usprawnione zarządzanie ryzykiem w całej organizacji.

Istnieje jeszcze jeden sposób raportowania. Jest to raportowanie „nieformalne”. Jak wygląda nieformalne raportowanie ryzyka? Organizacje z solidnym procesem ERM, który jest zakorzeniony w całej organizacji i ma silne poparcie kierownictwa, będą poszukiwać perspektywy specjalistów ds. ryzyka. Wgląd na żądanie, opinie i perspektywy zespołu ds. ryzyka to miejsce, w którym można zrealizować prawdziwą wartość ERM.

Właściciele ryzyka

Ostatnim wewnętrznym odbiorcą raportów dotyczących ryzyka będą menedżerowie średniego szczebla i inni pracownicy na pierwszej linii frontu, którzy faktycznie są właścicielami ryzyka, co oznacza osoby odpowiedzialne za monitorowanie i wdrażanie wszelkich działań ograniczających ryzyko zalecanych przez kierownictwo wyższego szczebla.

Aczkolwiek raporty na każdym poziomie będą musiały dostarczać informacji nadających się do działania, jest to szczególnie ważne w przypadku raportów dla właścicieli ryzyka.

Raporty te będą również zapewniać najwyższy poziom szczegółowości w zakresie ryzyka, w tym kluczowych wskaźników ryzyka. Raporty dla właścicieli ryzyka będą koncentrować się na metrykach wydajności, jak również dostarczać najbardziej aktualnych informacji na temat oceny wszystkich ryzyk, za które dana osoba jest odpowiedzialna. Na początku może się to wydawać przytłaczające, ale Twoim obowiązkiem jest bycie zwięzłym i dokładnym w raportach. Pamiętaj, aby używać kombinacji tekstu i elementów wizualnych.

Przykładem dobrego elementu wizualnego dla raportów właścicieli ryzyka jest wykres radarowy (dostępny w Excelu), który porównuje wyniki oceny ryzyka z poziomami tolerancji na ryzyko.

Kluczowa różnica polega na tym, że zamiast używać raportu do opracowywania lub modyfikowania strategii, właściciele ryzyka używają informacji zawartych w raportach do planowania i budżetowania codziennych operacji organizacji.

Tak jak w przypadku raportów na poziomie zarządu i wyższej kadry kierowniczej, format będzie musiał być dostosowany do kontekstu zawodowego i poziomu wiedzy na temat ERM, jaki posiada użytkownik końcowy.

Agencje regulacyjne

Ostatnią grupą odbiorców raportów na temat ryzyka, o której należy wspomnieć, są wszelkie odpowiednie agencje regulacyjne, które wymagają od organizacji raportowania na temat ryzyka. Amerykańskie korporacje notowane na giełdzie są zobowiązane przez Komisję Papierów Wartościowych i Giełd (SEC) do raportowania najważniejszych rodzajów ryzyka. Innym przykładem obowiązkowego raportowania ryzyka jest stanowa Własna Ocena Wypłacalności Ryzyka (ORSA) dla amerykańskich firm ubezpieczeniowych lub raportowanie Solvency II w Unii Europejskiej.

Jako były regulator ubezpieczeniowy w moim rodzinnym stanie Floryda, mogę zaświadczyć, że wszelkie raporty dotyczące ryzyka dla regulatora muszą równoważyć potrzebę firmy do spełnienia wymogu regulacyjnego i potrzebę regulatora do zrozumienia ryzyka firmy. Oczywiście, firma ubezpieczeniowa musi ujawnić ryzyka bez zbytniego uszczegóławiania, co może skutkować wyższym poziomem kontroli ze strony organów regulacyjnych.

W chwili obecnej nie jest również jasne, jak dobrze organy regulacyjne naprawdę rozumieją ryzyka przedsiębiorstwa, a zatem mogą przetrawić informacje i zadawać dogłębne pytania dotyczące raportu.

Raport SEC, znany jako 10-k, nie szuka listy ryzyk ze szczegółowymi informacjami na temat oceny, ale raczej narracji na temat dużych ryzyk dla organizacji.

W tym przypadku najlepiej jest przyjrzeć się raportom wysyłanym przez innych, takim jak ten z Walmartu, aby zrozumieć, co należy zawrzeć w raporcie 10-k, jeśli Twoja firma jest zobowiązana do jego złożenia.

W podsumowaniu…

Chcę powtórzyć, że raportowanie ryzyka jest naprawdę specyficzne dla danej organizacji. Zawartość raportu i sposób jego sformatowania zależy od wielu czynników, w tym potrzeb użytkowników, kontekstu zawodowego i zestawów umiejętności odbiorców oraz innych czynników specyficznych dla poszczególnych osób. Zrozumienie tego faktu na temat użytkowników raportów dotyczących ryzyka jest krytyczne dla zapewnienia, że powstają najbardziej pomocne raporty ułatwiające dalszą dyskusję na temat ryzyka.

Nie czuj się pod presją, aby włączać pewne elementy, zwłaszcza jeśli organizacja nie jest na nie gotowa lub jeśli proces ryzyka nie obsługuje jeszcze tych elementów.

I wreszcie, co nie mniej ważne, być może już się tego domyślasz… Raportowanie ryzyka jest bardzo płynne. Nie myśl przez chwilę, że sposób przygotowywania raportów dotyczących ryzyka będzie za każdym razem taki sam.

Pamiętaj tylko, że proces i format raportowania ryzyka w Twojej organizacji jest procesem stale ewoluującym.

Raportowanie ryzyka jest dość dogłębnym tematem, ale ten elementarz powinien zapewnić dobre podstawy tego, co należy rozważyć podczas opracowywania raportów w Twojej organizacji.

Czy członkowie zarządu i kierownictwo w Twojej organizacji uważają, że raporty dotyczące ryzyka są pomocne w zajmowaniu się ryzykiem dla celów strategicznych?

Czy dostarczają one wskazówek, których Ty, jako specjalista od ryzyka, potrzebujesz, aby dostarczyć im właściwych informacji w sposób, który jest dla nich pomocny?

Chcę usłyszeć Twoje przemyślenia i doświadczenia na ten ważny temat… po prostu skomentuj poniżej lub dołącz do rozmowy na LinkedIn, aby podzielić się swoją perspektywą lub pytaniami.

A jeśli masz problemy z opracowaniem zwięzłych i użytecznych raportów dotyczących ryzyka dla swojej organizacji lub agencji regulacyjnej, odwiedź moją stronę internetową (Strategic Decision Solutions), aby dowiedzieć się więcej o tym, jak pomagam organizacjom pokonywać wyzwania i zapewniać długoterminowy sukces.