Составление отчетов о рисках является одной из важнейших обязанностей руководителей компании. Эффективная отчетность служит фундаментом для надежной программы обеспечения соблюдения нормативных требований и свидетельством работы главного специалиста по комплаенсу. При этом, отчет по рискам зависит от характера деятельности компании, ее персонала и разработанной стратегии, что и определяет пользу подобного доклада.

Имеет ли отчетность значение?

Прежде всего, отчет о рисках важен для совета директоров, основной функцией которого является контроль эффективности систем управления угрозами. Ревизионные комитеты, использующие неактуальную информацию для мониторинга рисков, не выполняют свои фидуциарные обязанности согласно закону, что чревато судебными исками. Помимо контроля, такая отчетность помогает в разработке стратегических рекомендаций. Например, отчет может предупредить о высоком риске коррупции, если компания планирует выход на развивающиеся рынки. На основе отчета правление может пересмотреть вопрос о целесообразности расширения фирмы и альтернативных ценовых стратегиях.

Подробный отчет о рисках помогает топ-менеджерам понять, как им следует обновить политику относительно расходов, поощрительной компенсации за соблюдение квот продаж или системы должной осмотрительности для сотрудничества со сторонними партнерами. Эффективная отчетность о рисках также важна для регулирующих инстанций при проведении проверок поведения компании в рисковых ситуациях, где важную роль играет разработанная программа соответствия установленным нормам. Компания не сможет определить профиль риска без подробного отчета.

Несмотря на важность отчетности, уровень удовлетворенности ею со стороны членов правления остается довольно низким, согласно отчету NC State University за 2018 г. (Статья «The State of Risk Oversight: An Overview of Enterprise Risk Management Practices» для ERM, 2018). Среди основных причин называют несоответствие конкретной аудитории и отсутствие идей. Отчет о рисках, который просто перечисляет основные угрозы, не представляет ценности. Компании с устойчивыми процедурами риск-менеджмента используют отчетность в качестве плацдарма для дальнейшей разработки стратегии и смягчения потенциальных последствий.

О чем говорить?

В отчете о рисках должны быть учтены наиболее критические нынешние и будущие угрозы. Например, отчет может касаться правил конфиденциальности данных, если компания расширяется на новые рынки, или правил заключения государственных контрактов в случае взаимодействия с госучреждениями. Также следует подумать о возможных изменениях в текущей деятельности фирмы и об их влиянии на предприятие в целом. Так, одним из критических рисков может стать переход сотрудников на удаленную работу, что кардинально меняет угрозы в области мошенничества, кибер-безопасности и соблюдения нормативных актов.

Чем шире диапазон потенциальных угроз, тем лучше прогноз будущих последствий для фирмы. Каждый риск в отчете должен включать обсуждение его потенциального воздействия по нескольким уровням:

  • Финансовый: денежные штрафы, расходы на оплату труда или установление оборудования, потерянная прибыль
  • Оперативный: может ли риск привести к отсутствию продаж, закрытию филиалов, сбою текущих процессов и пр.
  • Стратегический: способен ли риск помешать достижению долгосрочных целей, например, покупка предприятия с целью слияния или разработка новой продукции
  • Репутационный: может ли риск нанести ущерб корпоративной репутации среди клиентов, потребителей или деловых партнеров.

В отчете необходимо рассмотреть, каким образом комплаенс-программа сможет устранить определенный риск. Укажите, дают ли существующие политики и средства контроля желаемые результаты, какие именно дополнительные процедуры следует внедрить для поддержания риска в пределах допустимых уровней компании.

Как создать основательный отчет?

Одним из недостатков отчетов по рискам служит излишек информации, который приводит в замешательство членов правления. Эффективный доклад должен легко читаться и усваиваться, т.е. речь идет о кратком перечислении угроз и причин их включения в отчетность с последующим углубленным обсуждением каждого риска и подтверждающих данных. Объем такого резюме не должен превышать 5 страниц и содержать, как можно, меньше терминологии. После ознакомления с резюме можно обсуждать детали, что предусматривает включение дополнительных данных, аудиторских отчетов, прогнозов затрат и пр.

Эффективный отчет также четко связывает каждый риск с заявленной бизнес-целью. Большинство инвесторов стремятся извлечь выгоду из текущих операций или функций управления, не располагая опытом в области управления рисками. Связь угрозы с бизнес-целью свидетельствует о значимости риска. Также учитывайте аудиторию. Например, отчетность о рисках для правления будет содержать больше общей информации и сосредотачиваться на стратегических рисках компании. После ознакомления с ним, совет директоров должен понимать основные угрозы для предприятия и меры для их устранения. В некоторых случаях правление может запросить последующее объяснение рисков, вызывающих особую обеспокоенность, на ежеквартальной или ежемесячной основе.

Генеральный директор предъявляет те же требования к отчетам о рисках, что и правление. Только в этом случае отчеты должны содержать подробные рекомендации относительно будущего алгоритма действий. Что касается руководителей среднего звена и персонала, здесь отчеты обязаны обеспечить наивысший уровень детализации рисков, включая их ключевые индикаторы и визуальные инструменты. Одним из лучших методов является радиолокационная диаграмма, которая сравнивает результаты оценки риска с риск-аппетитами компании. Т.е. отчет используется не для разработки стратегии, а для планирования текущих операций фирмы.

Основательный доклад отражает состояние проблем управления угрозами в компании на данный момент и намечает возможные пути их решения. Следует помнить о балансе между потребностями компании и ожиданиями регуляторов, а также о постоянной изменчивости отчетов, что свидетельствует о переменчивости самих рисков.

Таким образом, отчет о рисках не является проверочным упражнением для комплаенс-группы. Перед нами инструмент, помогающий членам правления выполнять свою работу по управлению компанией. Чем более умело Вы справляетесь с ним, тем успешнее будет Ваша комплаенс-программа.

 

Источники:

https://www.ganintegrity.com/blog/what-is-risk-reporting/

https://www.erminsightsbycarol.com/risk-reporting/

Читайте также: