Den ultimata grundboken för effektiv riskrapportering

En mekanism för att säkerställa att ledarskap, företagsledare och andra intressenter fattar riskinformerade beslut och fullgör sina tillsynsuppgifter

I slutändan bör ERM-processen betraktas som en cykel eller en återkopplingsslinga… vilket innebär att det aldrig finns någon definitiv slutpunkt.

Det är som årets fyra årstider – det finns aldrig någon slutpunkt, bara en kontinuerlig slinga under hela året. Hösten går över till vintern, vintern till våren, våren till sommaren, tillbaka till hösten, och cykeln fortsätter som den har gjort i eoner.

I tidigare artiklar har jag diskuterat andra punkter längs ERM-slingan, som riskidentifiering, riskbedömning och riskanalys samt processutveckling.

I den här artikeln kommer jag att dyka ner i den sista punkten i denna slinga eller cykel – riskrapportering.

Innan jag går vidare vill jag förklara att den här primern inte nödvändigtvis kommer att gå in på hur du ska förbereda riskrapporter i din organisation. Som du kommer att se i de kommande avsnitten finns det många organisations- och individspecifika faktorer som ingår i en effektiv riskrapportering.

Men även om det kommer att finnas några exempel nedan, kommer den här artikeln att fokusera på delar av en gedigen riskrapport och överväganden baserat på vem din rapport eller dina rapporter är avsedda för.

Omedelbart vill jag börja med att ge dig en definition…

Vad är riskrapportering och varför är det viktigt?

Med tanke på att riskrapportering kan variera mycket från en organisation till en annan är en exakt definition svår att fastställa. COSO ERM Framework (2017) säger dock följande om riskrapportering:

Rapportering stödjer personal på alla nivåer för att förstå sambanden mellan risk, kultur och resultat och för att förbättra beslutsfattandet vid fastställande av strategi och mål, styrning och daglig verksamhet.

Och som Norman Marks förklarar i sin bok World-Class Risk Management (…en källa som jag kommer att hänvisa mer till i den här artikeln) bör riskhanteringen vara en väsentlig del av den dagliga ledningen och beslutsfattandet i en organisation. Det är dock viktigt att ledningen och styrelsen ”gör en inventering” då och då. På så sätt så vet styrelsen och den högsta ledningen att organisationen är på rätt väg att uppnå sina mål.

Förutom att göra en inventering är riskrapportering också viktig ur ett juridiskt perspektiv. Tidigare behövde en styrelse inte nödvändigtvis känna till en risk, men i dag kan styrelserna inte hävda att de helt enkelt inte kände till en risk som till slut blev ett stort problem. Styrelseledamöter har en skyldighet att förstå de risker som en organisation står inför och se till att ledningen hanterar dem på lämpligt sätt.

Trots vikten av riskrapportering är graden av tillfredsställelse med ”…arten och omfattningen av den interna rapporteringen av viktiga riskindikatorer som kan vara användbara för att övervaka framväxande risker av ledande befattningshavare” ganska låg, enligt rapporten 2018 State of Risk Oversight från NC State University. Över 40 % av de tillfrågade hävdar att de är ”inte alls” eller ”minimalt” nöjda med kvaliteten på den rapportering de får från sin riskpersonal.

Varför detta?

Två huvudskäl (oroa dig inte – jag kommer att diskutera dessa mer i detalj senare):

1. Rapporten talar inte till rätt målgrupp.

Genom att inte förstå de avsedda mottagarnas bakgrund eller deras kunskaper om ERM är riskrapporterna antingen överväldigande (för detaljerade) eller så höga nivåer att de inte ger någon riktig information.

2. Rapporten är en dokumentationsövning utan några insikter.

En rapport som bara ger en lista över risker utan insikter i realtid och perspektiv på hur man kan uppnå kritiska mål innebär i huvudsak att riskrapporten är en vacker bild som dokumenterar det som folk redan vet. Risklistor är också ganska snabbt inaktuella eftersom varje beslut antingen ändrar befintliga risker eller skapar nya.

Riskrapportering som bara listar risker är ett av flera sätt för ERM att hamna i den fruktade ”check-the-box”-fällan. Styrelseledamöter och chefer kommer så småningom att börja ifrågasätta värdet av ERM i denna situation.

En verklig riskrapport med mervärde ger insikter och perspektiv i realtid om risker för målen. Att ha information i rätt tid kan dock vara en utmaning i en formell miljö, så var försiktig med hur mycket tid det tar att samla in, sammanställa, analysera och rapportera informationen. Organisationer med mer robusta ERM-processer använder riskrapportering som en språngbräda för vidare diskussioner om strategi, begränsning med mera.

Allmänna tips om riskrapportering

Tidigare nämnde jag kortfattat hur behoven av en riskrapport varierar beroende på målgrupp. Det finns dock några allmänna tips för riskrapportering för att se till att dina riskrapporter är användbara och lätta att använda. Dessa tips inkluderar:

• Rapportstruktur – Oavsett hur du utvecklar riskrapporter i din organisation måste de först och främst vara intuitiva. Du ska inte behöva lära publiken hur de ska läsa och vidta åtgärder med hjälp av rapporten. Om du gör det är rapporten för komplex och/eller förvirrande. Tänk också på slutanvändarnas bakgrund – hur mycket vet de om riskhantering? Har de en mer affärsmässig, teknisk eller juridisk bakgrund?

• Riskterminologi – En anledning till att många organisationer kämpar med riskrapportering har att göra med det språk som används i rapporterna. Som jag förklarar här är det viktigt för ERM-experter att använda ett språk som är förenligt med företaget i stället för tekniska termer som endast ett fåtal kommer att förstå. De flesta användare av riskrapporter kommer inte att förstå nyanserna i riskpoäng och andra mätningar, så detta måste beaktas.

• Rapporterna måste vara uppföljningsbara – Ett av de vanligaste klagomålen på riskrapportering är att de helt enkelt ger en lista över risker utan någon vidare analys. Som Norman Marks förklarar är en förteckning över risker användbar vid riskhantering, men vad användarna av rapporten behöver, särskilt beslutsfattare, är att förstå riskerna och deras inverkan på målen på ett kumulativt sätt, inte en efter en. Tänk mer på riskens grundorsak(er), effekterna på affärsmålen, hur utbredd den är i hela organisationen, om det finns utrymme för att ta större risker och om det finns några möjligheter för organisationen om denna risk inträffar.

Notera: Riskaggregering är ett avancerat sätt att förstå hur flera risker kumulativt påverkar målen, men eftersom de flesta metoder troligen inbegriper avancerad datormodellering bör riskaggregering inte prioriteras förrän du har spikat riskrapporteringsprocessen för din organisation.

De här allmänna tipsen om riskrapportering gäller oavsett målgrupp. I slutändan handlar det om tydlighet… alla text- eller visuella element i riskrapporter måste vara tillräckligt tydliga för att användaren ska kunna förstå dem utan att behöva tänka för mycket, och sedan snabbt kunna fatta beslut baserat på den informationen.

4 Målgrupper för riskrapportering – vad rapporterna bör innehålla

Den centrala faktorn för hur riskrapporter tar form beror på vem slutanvändaren är. En riskrapport för en kommitté på styrelsenivå kommer att se mycket annorlunda ut än en rapport för en riskägare.

Riskrapportering för styrelsen kommer till exempel att vara mer ”övergripande” och fokusera på risker för att organisationen ska uppnå sina mål. Strukturen och detaljerna i riskrapporterna kommer gradvis att bli mer granulära eller fokuserade på specifika risker ju längre ner på den organisatoriska stegen man kommer. Och riskrapporter för tillsynsmyndigheter har en mängd överväganden som är skilda från de interna konsumenternas.

Fortsätt läsa för att lära dig mer om dessa fyra målgrupper och vad de behöver få ut av alla riskrapporter.

Styrelse och riskkommitté på styrelsenivå

Som kort sagt behöver styrelsen eller en riskkommitté på styrelsenivå en resultatbaserad rapport som fokuserar på att uppnå målen. Ansvaret för styrelsen eller riskkommittén på styrelsenivå delegeras ofta till revisionskommittén.

Vad vill styrelsen ha i en riskrapport? Försäkring om att VD och andra verkställande chefer förstår riskerna för målen och vidtar lämpliga åtgärder för att hantera dessa risker.

Varför? Säkerställer att styrelsen har den information som den behöver för att förstå riskerna för att uppnå målen och fullgöra sitt tillsynsansvar.

Vad? Denna rapport kommer att vara på hög nivå och bör leda till ytterligare diskussioner om hur man ska gå vidare, oavsett om det handlar om begränsningsåtgärder eller en förändring av strategin.

De flesta organisationer förbereder en fullständig rapport minst en gång om året, men denna tidsram innebär att informationen måste uppdateras precis före denna rapport. (Annars är information som är sex månader gammal värdelös.)

De som svarade på en enkät från NC State hade en gemensam nämnare i vad deras rapporter innehöll. Huvuddelen av informationen i rapporterna var textbaserad med grafiska/visuella element, t.ex. diagram eller värmekartor, som spelade en stödjande roll. Visuella element spelar en roll när det gäller att formulera kritiska frågor och visa graden av exponering för de största riskerna.

Här är ett par exempel på värmekartor från ett tidigare projekt. Även om jag ger detta exempel finns det begränsningar för värmekartor som jag vill diskutera i ett framtida inlägg…

Den stora majoriteten av de svarande förklarar också att de endast rapporterar om de tio till femton största riskerna för företaget i sina presentationer på styrelsenivå.

Jag kan inte nog betona detta: dessa rapporter till styrelsen bör vara av allmän karaktär och endast omfatta de största riskerna.

I vissa fall kan styrelsen begära en uppföljning eller en ”djupdykning” om risker av särskilt intresse kvartalsvis eller till och med månadsvis om risken är tillräckligt betydande. Detta ansvar vilar egentligen på affärsfunktionerna i företaget om risken verkligen är förankrad i hela organisationen. När chefer inom IT, marknadsföring, ekonomi, juridik eller HR presenterar sig för styrelsen bör de ta ledningen när det gäller att rapportera om nyckelrisker och deras bedömning av dessa risker.

Å andra sidan kommer risk- och/eller revisionskommittéer på styrelsen att kräva fullständiga rapporter från riskhanteringsteamet, eftersom det i många fall är i dessa forum som de detaljerade diskussionerna om vägen framåt kommer att äga rum. En sådan kommitté kommer också att utföra tillsynsfunktionen för riskhantering.

Låt oss titta på Southwest Airlines som ett exempel. Riskrapporter för styrelsen på Southwest har fyra informationsnivåer:

1. Proaktiv identifiering av de största riskerna
2. Upplysning om eventuella handlingsplaner för dessa risker (tidigare, nuvarande,
3. Listan över ”accepterade” risker som ligger utanför organisationens kontroll
4. Outline the impact these big risks could have on achieving objectives

Senior Management

Executives like the CEO and others will have many of the same risk report requirements as the Board. I det här fallet måste rapporterna dock vara lite mer detaljerade, men inte så mycket att de chefer som läser dem blir överväldigade.

Det är faktiskt så att cheferna förlitar sig på ERM-personal för att granska riskerna tillsammans med riskägarna och prioritera dem enligt tillgänglig information. ERM-personal ger sedan cheferna en kort lista över risker och ger vägledning om de beslut som måste fattas. Komponenterna i riskinformationen, såsom kategori, påverkan/sannolikhet, hastighet och eventuella åtgärder för att minska riskerna hittills, diskuteras i dessa rapporter.

Riskrapporter till den högsta ledningen måste också omfatta mer än 10-15 enskilda, högst prioriterade risker som nämns ovan. För att ledningen ska kunna fullgöra sitt ansvar måste de förstå den övergripande risknivån för ett mål. Om man tar en risk i taget är den kanske inte så stor, men när den ”aggregeras” tillsammans kan den utgöra en enorm röd flagga.

(Det är viktigt att notera att verklig ”aggregering” är ett mycket avancerat ämne som inte bör försöka medan man fortfarande utvecklar en ERM-process i organisationen.)

ERM kan också rekommendera åtgärder för att mildra riskerna eller ändra strategin baserat på observationer och allmän kunskap.

I slutändan är det ledningens ansvar att se till att lämpliga kontroller och andra riskrelaterade aktiviteter finns på plats.

En risk dashboard är ett av verktygen som chefer i mer mogna ERM-program använder sig av för att få den information de behöver för att kunna fullgöra sitt ansvar. Att skapa en riskinstrumentpanel kan göras manuellt med hjälp av Excel (eller ett liknande verktyg), men detta är dock en primär användning av riskprogramvara. ERM-programvara, som det finns många alternativ av, kommer att innehålla indikatorer på statusen för nyckelrisker, beroenden, konsekvenser och hur de hanteras. Med en snabb blick kan ledningen se riskägaren, tillsammans med ett sammanfattande diagram över de största riskerna, andra viktiga riskindikatorer med mera.

Visuella verktyg som en instrumentpanel, som också kan ingå i rapporter på styrelsenivå, är ett utmärkt sätt för din publik att snabbt förstå data.

Ett varningens ord dock – som Norman Marks, COSO, jag själv och andra risktänkare diskuterat, bör organisationer först fokusera på att etablera och förfina sina processer innan de hoppar in i en teknisk lösning. Ett verktyg bör inte diktera riskprocessen i en organisation. I stället bör en organisation etablera och förfina sin process under minst ett år och sedan hitta ett verktyg som stöder den processen. Programvaran bör trots allt stödja en mer rationell hantering av risker i hela organisationen.

Det finns ett annat sätt att rapportera. Det är ”informell” rapportering. Hur ser informell riskrapportering ut? Organisationer med en robust ERM-process som är inbäddad i hela organisationen och som har ett starkt ledningsstöd kommer att söka efter riskproffsens perspektiv. Det är i riskteamets insikter, åsikter och perspektiv på begäran som det verkliga värdet av ERM kan förverkligas.

Riskägare

Den sista interna målgruppen för riskrapportering kommer att vara mellancheferna och annan personal i första linjen som faktiskt äger riskerna, det vill säga den eller de personer som är ansvariga för att övervaka och genomföra eventuella begränsningsåtgärder som föreskrivs av den högre ledningen.

Och även om rapporterna på alla nivåer måste tillhandahålla information som kan användas för åtgärder, är detta särskilt viktigt för rapporterna till riskägare.

Dessa rapporter kommer också att ge den högsta detaljnivån när det gäller risker, inklusive viktiga riskindikatorer. Rapporterna till riskägarna kommer att fokusera på resultatmått och ge den mest aktuella informationen om bedömningen av alla risker som ligger inom individens ansvarsområde. Detta kan till en början verka överväldigande för dig, men det är ditt ansvar att vara både kortfattad och korrekt i rapporterna. Kom ihåg att använda en kombination av text och visuella element.

Ett exempel på ett bra visuellt element för riskägares rapporter är ett radardiagram (finns i Excel), som jämför resultaten av riskbedömningen med risktoleransnivåerna.

En viktig skillnad i den här rapporten är följande: i stället för att använda rapporten för att utveckla eller ändra en strategi använder riskägarna informationen i sina rapporter för att planera och budgetera den dagliga verksamheten i organisationen.

Som fallet är med rapporter på styrelse- och ledningsnivå måste formatet anpassas till slutanvändarens yrkesmässiga bakgrund och ERM-kunskap.

Regulatoriska organ

Den sista målgruppen för riskrapportering som bör nämnas är alla relevanta regulatoriska organ som kräver att organisationer rapporterar om risker. Börsnoterade företag i USA måste enligt Securities and Exchange Commission (SEC) rapportera topprisker. Ett annat exempel på obligatorisk riskrapportering är ORSA (Own Risk Solvency Assessment) på delstatsnivå för amerikanska försäkringsbolag eller Solvens II-rapportering i Europeiska unionen.

Som tidigare försäkringstillsynsmyndighet i min hemstat Florida kan jag intyga att alla riskrapporter för en tillsynsmyndighet måste balansera företagets behov av att uppfylla tillsynskravet och tillsynsmyndighetens behov av att förstå företagets risker. Naturligtvis måste försäkringsbolaget redovisa riskerna utan att bli alltför detaljerat, vilket kan leda till en högre grad av granskning från tillsynsmyndigheternas sida.

För närvarande är det också oklart hur väl tillsynsmyndigheterna verkligen förstår företagsrisker och därför kan smälta information och ställa djupgående frågor om rapporten.

SEC:s rapport, känd som 10-k, letar inte efter en lista risker med detaljerad bedömningsinformation utan snarare en berättelse om de stora riskerna för organisationen.

I det här fallet är det bäst att titta på andra som skickar in rapporter, som den här från Walmart, för att förstå vad man ska inkludera i en 10-k-rapport om ditt företag är skyldigt att lämna in en.

Slutsatsen…

Jag vill upprepa hur riskrapportering verkligen är organisationsspecifikt. Innehållet i en rapport och hur den formateras beror på en mängd olika faktorer, bland annat användarnas behov, målgruppens yrkesmässiga bakgrund och kompetens och andra individspecifika faktorer. Att förstå detta om användarna av riskrapporter är avgörande för att säkerställa att de mest användbara rapporterna för att underlätta ytterligare diskussioner om risker produceras.

Känn dig inte pressad att inkludera vissa element, särskilt om organisationen inte är redo för dem eller om riskprocessen inte stödjer dessa element ännu.

Sist men inte minst, du kanske har gissat det här vid det här laget… Riskrapportering är mycket flytande. Tro inte för ett ögonblick att sättet du förbereder riskrapporter kommer att vara detsamma varje gång.

Håll dig bara i minnet att processen och formatet för riskrapportering i din organisation är en process i ständig utveckling.

Riskrapportering är ett ganska djupgående ämne, men den här grundboken bör ge en bra grund för vad du behöver tänka på när du utarbetar rapporter i din organisation.

Håller styrelsemedlemmar och chefer i din organisation riskrapporter för hjälpsamma för att ta itu med risker för strategiska mål?

Gör de den vägledning som du som riskproffs behöver för att ge dem rätt information på ett sätt som är användbart för dem?

Jag är intresserad av att höra dina tankar och erfarenheter om detta viktiga ämne … kommentera nedan eller delta i konversationen på LinkedIn för att dela med dig av ditt perspektiv eller dina frågor.

Och om du kämpar med att utveckla koncisa och användbara riskrapporter för din organisation eller en tillsynsmyndighet, besök min konsultwebbplats (Strategic Decision Solutions) för att lära dig mer om hur jag hjälper organisationer att övervinna utmaningar och säkerställa långsiktig framgång.