6. 6. Sledování, hlášení a komunikace rizika

6.2. Hlášení rizik

Rešerše literatury identifikovala tři oblasti vykazování rizik, které jsou nezbytné pro efektivní komunikaci o rizicích v celé organizaci. Jsou to: Ujištění správní rady, rizika na vysoké úrovni a hlášení z registru rizik.

Rámcové ujištění představenstva (BAF) představuje strukturu a proces, který umožňuje podniku zaměřit se na ta rizika, která mohou ohrozit dosažení jeho hlavních ročních cílů. Měla by zmapovat klíčové kontrolní mechanizmy, které by měly být zavedeny pro řízení těchto cílů, a potvrdit, že správní rada získala dostatečné ujištění o účinnosti těchto kontrol (Good Governance Institute, 2009). Ministerstvo zdravotnictví (2002), dokument Assurance (Ujištění): Agenda správní rady uznává, že "koncept ujištění může být zdrojem nedorozumění a nesouladu očekávání".

Pokyny ministerstva zdravotnictví (2003) Vytvoření rámce pro zajištění (Building the Assurance Framework): Praktický průvodce pro správní rady NHS uvádí, že BAF by měl obsahovat následující:

  • Hlavní cíle
  • Hlavní rizika (spojená s cíli) 
  • Klíčové kontroly (spojené s riziky) 
  • Ujištění o kontrolách
  • Zprávy správní rady (a podávání zpráv) 
  • Pozitivní ujištění
  • Nedostatky v kontrole 
  • Nedostatky v ujištění 
  • Akční plán správní rady

Dokumenty Ministerstva zdravotnictví (2002, 2003) i Institutu pro řádnou správu a řízení (2009) uvádějí, že hlavní cíl BAF by měl být aktualizován jednou ročně v souladu s ročním procesem plánování činnosti organizace, ale související rizika, kontroly, potenciální zdroje ujištění, skutečně získaná ujištění a mezery v kontrole nebo ujištění stanovené v rámci BAF by měly být aktualizovány průběžně.

Vedle rámce pro ubezpečení správní rady by vrcholové vedení mělo sestavovat zprávy o rizicích na vysoké úrovni, aby usnadnilo identifikaci, hodnocení a průběžné sledování významných rizik pro organizaci. Zpráva by měla být formálně vyhodnocena radou a pravidelně podávána (Higher Education Funding Council of England, 2014). Rizika na vysoké úrovni by se měla odlišovat od standardních registrů rizik, které jsou hlášeny organizačně pod správní radou. V pokynech australských a novozélandských norem (2004, str. 23) se uvádí, že "každá fáze procesu řízení rizik by měla být náležitě zaznamenána. Předpoklady, metody, zdroje dat, analýzy, výsledky a důvody rozhodnutí by měly být zaznamenány.“ Registry rizik jsou důležité pro shromažďování a analýzu trendů, ale měly by být využívány především operativně manažery ke snižování a řízení rizik na všech úrovních a organizačně k hlášení rizik prostřednictvím organizačních řídicích struktur (Good Governance Institute, 2009).