- Un mecanism pentru a se asigura că liderii, managerii de afaceri și alte părți interesate iau decizii în cunoștință de cauză cu privire la riscuri și își îndeplinesc îndatoririle de supraveghere
- Ce este raportarea riscurilor și de ce este importantă?
- Consiliere generale privind raportarea riscurilor
- 4 Audiențe de raportare a riscurilor – Ce ar trebui să includă rapoartele
- În concluzie…
Un mecanism pentru a se asigura că liderii, managerii de afaceri și alte părți interesate iau decizii în cunoștință de cauză cu privire la riscuri și își îndeplinesc îndatoririle de supraveghere
La sfârșitul zilei, procesul ERM ar trebui privit ca un ciclu sau o buclă de feedback… ceea ce înseamnă că nu există niciodată un punct final definitiv.
Este ca cele patru anotimpuri ale anului – nu există niciodată un punct final, ci doar o buclă continuă pe tot parcursul anului. Toamna trece la iarnă, iarna la primăvară, primăvara la vară, înapoi la toamnă, iar ciclul continuă așa cum a făcut-o de veacuri.
Am discutat alte puncte de-a lungul buclei ERM, cum ar fi identificarea, evaluarea și analiza riscurilor, plus dezvoltarea proceselor, în articole anterioare.
În acest articol, mă voi scufunda în ultimul punct din această buclă sau ciclu – raportarea riscurilor.
Înainte de a merge mai departe, vreau să explic că acest abecedar nu va intra neapărat în modul în care ar trebui să pregătiți rapoartele de risc în organizația dumneavoastră. După cum veți vedea în secțiunile următoare, există o mulțime de factori specifici organizației și indivizilor care contribuie la o raportare eficientă a riscurilor.
În timp ce vor exista câteva exemple mai jos, acest articol se va concentra pe elementele unui raport de risc solid și pe considerațiile bazate pe destinatarul (destinatarii) raportului (rapoartelor) dumneavoastră.
Fără alte discuții, vreau să încep prin a vă oferi o definiție…
Ce este raportarea riscurilor și de ce este importantă?
Din moment ce raportarea riscurilor poate varia foarte mult de la o organizație la alta, o definiție exactă este greu de stabilit. Cu toate acestea, Cadrul COSO ERM (2017) spune următoarele despre raportarea riscurilor:
Raportarea sprijină personalul de la toate nivelurile să înțeleagă relațiile dintre risc, cultură și performanță și să îmbunătățească procesul de luare a deciziilor în ceea ce privește stabilirea strategiei și a obiectivelor, guvernanța și operațiunile de zi cu zi.
Și, așa cum explică Norman Marks în cartea sa World-Class Risk Management (…o sursă la care voi face mai multe referiri în acest articol), gestionarea riscurilor ar trebui să fie o parte esențială a managementului de zi cu zi și a procesului decizional al unei organizații. Cu toate acestea, este important ca managementul și consiliul de administrație să „facă un bilanț” din când în când. În acest fel, astfel încât consiliul și conducerea superioară să știe că organizația este pe drumul cel bun pentru a-și atinge obiectivele.
În afară de a face bilanțul, raportarea riscurilor este importantă și din punct de vedere juridic. În vremurile trecute, un consiliu nu trebuia neapărat să știe despre un risc, dar astăzi, consiliile nu pot pretinde că pur și simplu nu au fost la curent cu un risc care a sfârșit prin a deveni o mare problemă. Membrii consiliului de administrație au obligația de a înțelege riscurile cu care se confruntă o organizație și de a se asigura că managementul le abordează în mod corespunzător.
În ciuda importanței raportării riscurilor, nivelul de satisfacție cu privire la „…natura și amploarea raportării interne a indicatorilor cheie de risc care ar putea fi utile pentru monitorizarea riscurilor emergente de către directorii executivi” este destul de scăzut, potrivit raportului 2018 State of Risk Oversight (Starea supravegherii riscurilor) de la NC State University. Peste 40% dintre respondenți susțin că sunt „deloc” sau „minim” mulțumiți de calitatea raportării pe care o primesc de la personalul lor de risc.
De ce se întâmplă acest lucru?
Două motive principale (nu vă faceți griji – le voi discuta mai în detaliu mai târziu):
1. Raportul nu se adresează publicului potrivit.
Prin faptul că nu se înțelege trecutul destinatarilor sau cunoștințele lor despre ERM, rapoartele de risc sunt fie copleșitoare (prea detaliate), fie atât de la nivel înalt încât nu oferă informații reale.
2. Raportul este un exercițiu de documentare fără perspective.
Un raport care oferă pur și simplu o listă de riscuri fără perspective și perspective în timp real privind atingerea obiectivelor critice înseamnă, în esență, că raportul de risc este o imagine frumoasă care documentează ceea ce oamenii știu deja. Listele de riscuri sunt, de asemenea, depășite destul de repede, deoarece fiecare decizie fie modifică riscurile existente, fie creează altele noi.
Raportul de risc care enumeră pur și simplu riscurile este unul dintre cele câteva moduri în care ERM poate cădea în temuta capcană a „bifării cutiei”. Membrii consiliului de administrație și directorii vor începe în cele din urmă să pună sub semnul întrebării valoarea ERM în această situație.
Un raport de risc cu adevărat cu valoare adăugată va oferi informații și perspective în timp real asupra riscurilor pentru obiective. Cu toate acestea, a avea informații în timp util poate fi o provocare într-un cadru formal, așa că fiți precauți cu privire la cât timp este nevoie pentru a aduna, compila, analiza și raporta informațiile. Organizațiile cu procese ERM mai solide folosesc raportarea riscurilor ca o rampă de lansare pentru discuții ulterioare despre strategie, atenuare și multe altele.
Consiliere generale privind raportarea riscurilor
Pe scurt, am menționat mai devreme cum nevoile unui raport de risc vor varia în funcție de public. Cu toate acestea, există câteva sfaturi generale de raportare a riscurilor pentru a vă asigura că rapoartele dvs. de risc sunt acționabile și ușor de consumat. Aceste sfaturi includ:
- Structura raportului – Indiferent de modul în care elaborați rapoartele de risc în organizația dumneavoastră, acestea trebuie să fie, în primul rând, intuitive. Nu ar trebui să trebuiască să învățați publicul cum să citească și să acționeze asupra raportului. Dacă trebuie să o faceți, raportul este prea complex și/sau prea confuz. Luați în considerare, de asemenea, trecutul utilizatorilor finali – cât de multe știu aceștia despre practicile de gestionare a riscurilor întreprinderii? Au mai degrabă un background de afaceri, tehnic sau juridic?
- Terminologia riscurilor – Unul dintre motivele pentru care multe organizații se luptă cu raportarea riscurilor are legătură cu limbajul utilizat în rapoarte. După cum explic aici, este important ca profesioniștii ERM să folosească un limbaj în concordanță cu întreprinderea, în loc de termeni tehnici pe care doar câțiva îi vor înțelege. Cei mai mulți utilizatori ai rapoartelor de risc nu vor înțelege nuanțele scorului de risc și ale altor măsurători, așa că acest lucru trebuie luat în considerare.
- Rapoartele trebuie să fie acționabile – Una dintre plângerile frecvente cu privire la rapoartele de risc este că acestea oferă pur și simplu o listă de riscuri fără nicio analiză suplimentară. După cum a explicat Norman Marks, o listă de riscuri este utilă atunci când se gestionează riscurile, dar ceea ce au nevoie utilizatorii raportului, în special factorii de decizie, este să înțeleagă riscul și impactul acestuia asupra obiectivelor într-un mod cumulativ, nu unul câte unul. Gândiți-vă mai mult la cauza sau cauzele profunde ale riscului, la efectele asupra obiectivelor de afaceri, la cât de răspândit este în întreaga organizație, dacă există loc pentru a asuma mai multe riscuri și dacă există oportunități pentru organizație în cazul în care acest risc se produce.
Nota: Agregarea riscurilor este o modalitate avansată de a înțelege modul în care mai multe riscuri afectează obiectivele în mod cumulativ, dar, deoarece majoritatea practicilor implică probabil o modelare computerizată avansată, agregarea riscurilor nu ar trebui să fie o prioritate până când nu ați bătut în cuie procesul de raportare a riscurilor pentru organizația dumneavoastră.
Aceste sfaturi generale privind raportarea riscurilor se aplică indiferent de public. În cele din urmă, totul se reduce la claritate… orice text sau elemente vizuale din rapoartele de risc trebuie să fie suficient de clare pentru ca utilizatorul să le înțeleagă fără a fi nevoit să se gândească prea mult, iar apoi să poată lua rapid decizii pe baza acestor informații.
4 Audiențe de raportare a riscurilor – Ce ar trebui să includă rapoartele
Factorul de bază în ceea ce privește modul în care iau forma rapoartelor de risc depinde de cine este utilizatorul final. Un raport de risc pentru un comitet de la nivelul consiliului de administrație va arăta mult mai diferit decât unul pentru un proprietar de risc.
De exemplu, raportul de risc pentru consiliul de administrație va avea o imagine mai „de ansamblu” și se va concentra pe riscurile pentru ca organizația să își atingă obiectivele. Structura și detaliile rapoartelor de risc vor deveni treptat mai granulare sau se vor concentra pe riscuri specifice cu cât se coboară mai mult pe scara organizațională. Iar rapoartele de risc pentru agențiile de reglementare au o serie de considerații separate de cele ale consumatorilor interni.
Continuați lectura pentru a afla mai multe despre aceste patru audiențe și despre ceea ce trebuie să obțină de la orice raport de risc.
Consiliul de administrație și comitetul de risc la nivel de consiliu
În concluzie, consiliul de administrație sau un comitet de risc la nivel de consiliu are nevoie de un raport bazat pe performanță care se concentrează pe atingerea obiectivelor. Responsabilitățile consiliului sau ale comitetului de risc la nivel de consiliu sunt frecvent delegate comitetului de audit.
Ce așteaptă consiliul de administrație de la un raport de risc? Asigurarea că directorul general și alți manageri executivi înțeleg riscurile la adresa obiectivelor și iau măsuri adecvate pentru a aborda aceste riscuri.
De ce? Asigură faptul că consiliul de administrație dispune de informațiile de care are nevoie pentru a înțelege riscurile legate de atingerea obiectivelor și pentru a-și îndeplini responsabilitățile de supraveghere.
Ce? Acest raport va fi de nivel înalt și ar trebui să suscite discuții suplimentare despre cum să procedeze, fie că implică acțiuni de atenuare sau o schimbare de strategie.
Majoritatea organizațiilor pregătesc un raport complet cel puțin o dată pe an, dar acest interval de timp înseamnă că informațiile trebuie să fie actualizate chiar înainte de acest raport. (În caz contrar, informațiile care sunt vechi de 6 luni sunt inutile.)
Răspunsurile la un sondaj de la NC State au avut un punct comun în ceea ce includeau rapoartele lor. Cea mai mare parte a informațiilor conținute în rapoarte era bazată pe text, elementele grafice/vizuale, cum ar fi diagramele sau hărțile termice, jucând un rol secundar. Elementele vizuale joacă un rol în încadrarea problemelor critice și în evidențierea nivelului de expunere la riscurile de top.
Iată câteva exemple de hărți termice dintr-un proiect anterior. Deși vă ofer acest exemplu, există limitări ale hărților termice pe care doresc să le discut într-o postare viitoare…
Marea majoritate a respondenților explică, de asemenea, că în prezentările la nivel de consiliu de administrație raportează doar primele 10 până la 15 riscuri pentru întreprindere.
Nu pot sublinia suficient acest lucru: aceste rapoarte către consiliul de administrație ar trebui să fie de natură generală și să includă doar riscurile de top.
În unele cazuri, consiliul de administrație poate solicita o urmărire sau o „scufundare în profunzime” cu privire la orice risc deosebit de îngrijorător, trimestrial sau chiar lunar, dacă riscul este suficient de semnificativ. Această responsabilitate revine cu adevărat funcțiilor de afaceri din cadrul întreprinderii, dacă riscul este cu adevărat încorporat în întreaga organizație. Atunci când directorii din IT, marketing, finanțe, juridic sau resurse umane se prezintă în fața consiliului de administrație, aceștia ar trebui să preia conducerea în ceea ce privește raportarea riscurilor cheie și evaluarea lor cu privire la aceste riscuri.
Pe de altă parte, comitetele de risc și/sau de audit de la nivelul consiliului de administrație vor căuta rapoarte complete din partea echipei de gestionare a riscurilor, deoarece, în multe cazuri, acestea sunt forumurile în care vor avea loc discuții detaliate cu privire la calea de urmat. Un astfel de comitet va îndeplini, de asemenea, funcția de supraveghere a gestionării riscurilor.
Să ne uităm la Southwest Airlines pentru un exemplu. Rapoartele de risc pentru consiliul de administrație de la Southwest au 4 niveluri de informații:
- Identificarea proactivă a celor mai mari riscuri
- Scrierea oricăror planuri de acțiune pentru aceste riscuri (trecute, prezente, și viitoare)
- Enumeră riscurile „acceptate” care sunt în afara controlului organizației
- Scrieți impactul pe care aceste riscuri mari l-ar putea avea asupra atingerii obiectivelor
Conducerea superioară
Executivii, cum ar fi directorul general și alții, vor avea multe dintre aceleași cerințe de raportare a riscurilor ca și Consiliul. Cu toate acestea, în acest caz, rapoartele vor trebui să intre puțin mai mult în detalii, dar nu atât de mult încât directorii care le citesc să fie copleșiți.
De fapt, directorii se bazează pe personalul ERM pentru a examina riscurile cu proprietarii de riscuri și pentru a le prioritiza în funcție de informațiile disponibile. Personalul ERM va furniza apoi executivilor o listă scurtă de riscuri și va oferi îndrumări cu privire la deciziile care trebuie luate. Componentele informațiilor despre riscuri, cum ar fi categoria, impactul/ probabilitatea, viteza și orice activități de atenuare până în prezent sunt discutate în aceste rapoarte.
Raporturile de risc către conducerea superioară trebuie, de asemenea, să acopere mai mult de 10-15 riscuri individuale, de prim rang, menționate mai sus. Pentru ca managementul să își îndeplinească responsabilitățile, acesta trebuie să înțeleagă nivelul general de risc pentru un obiectiv. Luat pe rând, un risc poate să nu fie mare lucru, dar atunci când este „agregat” împreună ar putea prezenta un semnal de alarmă uriaș.
(Este important de reținut că adevărata „agregare” este un subiect foarte avansat care nu ar trebui să fie încercat cât timp încă se dezvoltă un proces ERM în organizația dvs.)
ERM poate, de asemenea, să recomande măsuri de acțiune pentru atenuarea riscurilor sau modificarea strategiei pe baza observațiilor și a cunoștințelor generale.
În cele din urmă, este responsabilitatea managementului să se asigure că există controale adecvate și alte activități legate de riscuri.
Un tablou de bord al riscurilor este un instrument pe care directorii din programele ERM mai mature îl folosesc pentru a obține informațiile de care au nevoie pentru a-și îndeplini responsabilitățile. Crearea unui tablou de bord al riscurilor se poate face manual, folosind Excel (sau un instrument similar), însă aceasta este o utilizare primară a software-ului de risc. Software-ul ERM, dintre care sunt disponibile multe opțiuni, va include indicatori privind starea riscurilor cheie, dependențele, impactul și modul în care acestea sunt gestionate. Cu o privire rapidă, executivul va putea vedea proprietarul riscului, împreună cu un grafic rezumativ al principalelor riscuri, alți indicatori cheie de risc și multe altele.
Instrumentele vizuale, cum ar fi un tablou de bord, care pot fi incluse și în rapoartele de la nivelul consiliului de administrație, sunt o modalitate excelentă pentru ca publicul dumneavoastră să înțeleagă rapid datele.
Exemplu de tablou de bord al riscurilor, prin amabilitatea NC State University
Un cuvânt de precauție totuși – așa cum au discutat Norman Marks, COSO, eu însumi și alți lideri de opinie în domeniul riscurilor, organizațiile ar trebui să se concentreze mai întâi pe stabilirea și perfecționarea proceselor lor înainte de a se arunca într-o soluție tehnologică. Un instrument nu ar trebui să dicteze procesul de risc al unei organizații. În schimb, o organizație ar trebui să își stabilească și să își perfecționeze procesul timp de cel puțin un an, apoi să găsească un instrument care să sprijine acest proces. La urma urmei, software-ul ar trebui să sprijine gestionarea mai raționalizată a riscurilor în întreaga organizație.
Există o altă modalitate de raportare. Aceasta este raportarea „informală”. Cum arată raportarea informală a riscurilor? Organizațiile cu un proces ERM robust, care este încorporat în întreaga organizație și care are un sprijin puternic din partea executivilor, vor căuta perspectiva profesioniștilor în domeniul riscurilor. Perspectivele, opiniile și perspectivele la cerere din partea echipei de risc este locul în care se poate realiza adevărata valoare a ERM.
Proprietarii de risc
Ultima audiență internă pentru raportarea riscurilor va fi reprezentată de managerii intermediari și de alte categorii de personal din prima linie care dețin de fapt riscurile, adică persoana (persoanele) responsabilă (responsabile) de monitorizarea și punerea în aplicare a oricăror acțiuni de atenuare prescrise de conducerea superioară.
Deși rapoartele de la fiecare nivel vor trebui să furnizeze informații acționabile, acest lucru este deosebit de important pentru rapoartele către proprietarii de risc.
Aceste rapoarte vor oferi, de asemenea, cel mai înalt nivel de detaliu în ceea ce privește riscul, inclusiv indicatorii cheie de risc. Rapoartele către proprietarii de riscuri se vor axa pe indicatorii de performanță, precum și pe furnizarea celor mai recente informații privind evaluarea tuturor riscurilor aflate în responsabilitatea persoanei respective. S-ar putea să vi se pară copleșitor la început, dar este responsabilitatea dumneavoastră să fiți atât succint, cât și precis în rapoarte. Nu uitați să folosiți o combinație de text și elemente vizuale.
Un exemplu de element vizual bun pentru rapoartele proprietarilor de risc este o diagramă radar (disponibilă în Excel), care compară rezultatele evaluării riscurilor cu nivelurile de toleranță la risc.
O diferență esențială este următoarea: în loc să folosească raportul pentru a dezvolta sau modifica strategia, proprietarii de risc folosesc informațiile din rapoartele lor pentru a planifica și bugeta operațiunile de zi cu zi ale organizației.
Ca și în cazul rapoartelor la nivelul consiliului de administrație și al directorilor executivi, formatul va trebui să fie adaptat la pregătirea profesională și la nivelul de cunoștințe în materie de ERM pe care le are utilizatorul final.
Agențiile de reglementare
Ultima audiență de raportare a riscurilor care trebuie menționată este orice agenție de reglementare relevantă care solicită organizațiilor să raporteze cu privire la riscuri. Societățile cotate la bursă din SUA sunt obligate de către Comisia pentru valori mobiliare și burse (SEC) să raporteze riscurile de top. Un alt exemplu de raportare obligatorie a riscurilor include evaluarea riscului propriu de solvabilitate (ORSA) la nivel de stat pentru companiile de asigurări din SUA sau raportarea Solvency II în Uniunea Europeană.
În calitate de fost organism de reglementare în domeniul asigurărilor în statul meu natal, Florida, pot atesta faptul că orice raport de risc pentru un organism de reglementare trebuie să echilibreze nevoia companiei de a satisface cerința de reglementare și nevoia organismului de reglementare de a înțelege riscurile companiei. Desigur, compania de asigurări trebuie să divulge riscurile fără a deveni prea detaliată, ceea ce poate duce la un nivel mai ridicat de control din partea autorităților de reglementare.
În prezent, este, de asemenea, neclar cât de bine înțeleg cu adevărat autoritățile de reglementare riscurile întreprinderii și, prin urmare, pot digera informațiile și pune întrebări aprofundate cu privire la raport.
Raportul SEC, cunoscut sub numele de 10-k, nu caută o listă de riscuri cu informații detaliate de evaluare, ci mai degrabă o narațiune a marilor riscuri pentru organizație.
În acest caz, cel mai bine este să vă uitați la alții care trimit rapoarte, cum ar fi acesta de la Walmart, pentru a înțelege ce să includeți într-un raport 10-k în cazul în care compania dvs. este obligată să prezinte unul.
În concluzie…
Vreau să reiterez modul în care raportarea riscurilor este cu adevărat specifică organizației. Conținutul unui raport și modul în care este formatat depinde de o varietate de factori, inclusiv de nevoile utilizatorilor, de pregătirea profesională și de seturile de competențe ale audienței și de alți factori specifici fiecărui individ în parte. Înțelegerea acestui lucru despre utilizatorii rapoartelor de risc este esențială pentru a se asigura că sunt produse cele mai utile rapoarte pentru a facilita discuțiile ulterioare despre riscuri.
Nu vă simțiți presați să includeți anumite elemente, mai ales dacă organizația nu este pregătită pentru ele sau dacă procesul de risc nu susține încă acele elemente.
Și, nu în ultimul rând, probabil că ați ghicit acest lucru până acum… Raportarea riscurilor este foarte fluidă. Nu vă gândiți nicio clipă că modul în care pregătiți rapoartele de risc va fi același de fiecare dată.
Amintiți-vă doar că procesul și formatul pentru raportarea riscurilor în organizația dvs. este un proces în continuă evoluție.
Raportarea riscurilor este un subiect destul de aprofundat, dar acest abecedar ar trebui să ofere o bază bună pentru ceea ce trebuie să luați în considerare atunci când elaborați rapoarte în organizația dvs.
Membrii consiliului de administrație și directorii din organizația dvs. consideră că rapoartele de risc sunt utile în abordarea riscurilor pentru obiectivele strategice?
Le oferă acestea îndrumarea de care dumneavoastră, în calitate de profesioniști în domeniul riscurilor, aveți nevoie pentru a le oferi informațiile corecte într-un mod care să le fie util?
Sunt interesat să aud părerile și experiențele dumneavoastră cu privire la acest subiect important… pur și simplu comentați mai jos sau alăturați-vă conversației pe LinkedIn pentru a împărtăși perspectiva sau întrebările dumneavoastră.
Și dacă vă luptați să elaborați rapoarte de risc concise și acționabile pentru organizația dvs. sau pentru o agenție de reglementare, vizitați site-ul meu de consultanță (Strategic Decision Solutions) pentru a afla mai multe despre modul în care ajut organizațiile să depășească provocările și să asigure succesul pe termen lung.
.