Nu skal risikostyring på dagsordenen

Nu skal risikostyring på dagsordenen

I denne artikel vil vi vise at risikostyring ikke er et nødvendigt onde, men at det skaber overblik og bidrager til virksomhedens værdiskabelse. Det er derfor nødvendigt, at bestyrelsen og den øverste ledelse sætter risikostyring højt på dagsordenen.

Risikostyring er gået fra at være en spændende ny disciplin til at være en anbefaling som en del af god selskabsledelse og til i dag at være et mere formaliseret krav på direktions- og bestyrelsesniveau.

Alligevel er der mange virksomheder, der endnu ikke har en formaliseret risikoproces eller et tilstrækkeligt overblik over relevante risici forbundet med at drive virksomheden. Det er ikke god selskabsledelse.

Rettidig omhu indebærer at virksomheden har en ordentlig risikostyring, som gør ledelsen i stand til at vurdere risici og iværksætte tiltag til at reducere effekten af risiciene til et acceptabelt niveau. Det giver således overblik og ro i organisationen at have en systematiseret tilgang til risici, da dette kan reducere omfanget af ubehagelige overraskelser.

Hvordan styres risici i din virksomhed?

Effektiv risikostyring og et effektivt internt kontrolsystem medvirker til at reducere strategiske og forretningsmæssige risici. Endvidere kan risikostyring bidrage til overholdelse af gældende regler og forskrifter samt til at sikre kvaliteten af informationsgrundlaget for ledelsens beslutninger og den finansielle rapportering. Det er væsentligt, at risiciene identificeres og kommunikeres, og at risiciene håndteres på en hensigtsmæssig måde.

En effektiv risikostyring giver mulighed for at optimere indsatsen for at virksomheden når sine mål; f.eks. gennem fokus på vækst og nye markeder. Samtidig kan virksomheden optimere processer og effektivisere kontroltiltag.

Ledelsen skal kunne besvare nedenstående spørgsmål:

  1. Hvilke risici truer vores forretningsstrategi og handlinger?
  2. Hvor store risici er vi villige til at tage?
  3. Hvordan kan vi styre risici?
  4. Hvordan indhenter vi de informationer, vi har brug for, for at styre risici?
  5. Hvordan kvantificerer vi væsentligheden af risici?
  6. Hvordan er de forskellige risici forbundet med hinanden?
  7. Hvordan håndterer vi risici?
  8. Hvordan sikrer vi overholdelse af vores risikopolitik?
  9. Hvordan rapporterer vi risici?

Risikostyringen omfatter alle forretningsmæssige og finansielle risici. Mange anvender en kategorisering af risici opdelt i virksomhedens strategiske mål, operationelle mål, finansielle forhold og compliance. Risiciene kan med fordel identificeres inden for virksomhedens enkelte forretningsområder og for alle funktioner. Risikostyringen involverer således mange personer i virksomheden.

Risikostyring skal være en systematisk proces

Mange er af den opfattelse, at risikostyring er en del af en sund virksomhedskultur. Den opfattelse deler vi. Samtidig må det erkendes at der i en travl hverdag er behov for at risikostyringen er forankret i organisationen. Da mange personer er involveret og da formålet er at kunne sammenholde væsentligheden af mange typer af risici, er der behov for en systematiseret proces.

De ansvarlige for risikorapporteringen skal identificere risici, vurdere væsentligheden af risici, identificere tiltag til reduktion heraf samt rapportere alt dette; jf. figur 1.

En systematiseret risikostyring kan således opdeles i 4 trin.

I første trin foretages en identifikation af risici (iboende risici) inden for virksomhedens strategiske mål, operationelle mål, finansielle forhold og compliance.

I andet trin foretages en vurdering af væsentligheden af de enkelte risici. Væsentligheden vurderes dels ud fra konsekvensen (i form af økonomisk tab og/eller effekt på image) hvis risikoen opstår, og dels ud fra sandsynligheden for at risikoen opstår.

Vurderingen af konsekvensen er subjektiv og ofte anvendes en skala med 4 score muligheder: Signifikant (4 point), Høj (3 point), Medium (2 point) og Lav (1 point).

Sandsynligheden er ligeledes subjektiv og her anvendes også ofte en model med 4 score muligheder: Sandsynlig >50% (4 point), Mulig 50%>x>25% (3 point), Usandsynlig 25%>x>10% (2 point) og Sjælden <10% (1 point).

Kriterierne for scoringerne kan forfines. Den kombinerede risiko er lig med Konsekvens X Sandsynlighed. Således får alle risici en score mellem 1-16 point.

I tredje trin foretages en identificereting af tiltag til reduktion af risici. Generelt kan en kontrol håndtere en risiko på én af 4 måder:

  • Reducere (kontroltiltag der reducerer sandsynligheden og/eller konsekvensen af risikoen),
  • Videregive (eks. forsikre sig imod risici),
  • Acceptere (sandsynlighed og konsekvens af risikoen er under den accepterede risikoprofil / risikoappetit),
  • Undgå (lukke en aktivitet, ikke handle på givne markeder mv.).

Effekten af de implementerede kontroller vurderes. Herefter foretages igen en vurdering af væsentligheden af den reducerede risiko dels ud fra konsekvensen (i form af økonomisk tab og/eller effekt på image) og dels ud fra sandsynligheden for at risikoen opstår. 

Det 4. trin består i en systematisk rapportering af ovenstående til de relevante ledelsesniveauer i virksomheden; herunder direktion og bestyrelse. Ofte rapporteres i et risiko ”Heat Map” som vist i figur 2. Dette suppleres med beskrivelse af iværksatte kontrol tiltag og en vurdering af om den residuale risiko (iboende risiko efter kontroltiltag) er inden for den accepterede risikoprofil (risikoappetit).

Rapporteringen giver således et overblik på relevante ledelsesniveauer til at drøfte virksomhedens væsentligste risici, risiko appetitten og de iværksatte kontroltiltag.

Antallet af risici der rapporteres kan variere afhængigt af ledelsesniveauet og behovet for detaljeringsgrad. Ofte rapporteres 5- 10 risici til bestyrelsen. Rapporteringen kan vise risiciene før (iboende risici) og efter (residual risici) kontroltiltag.

Den rette kultur er helt central

Rapporteringen af risici er ikke det vigtigste mål med risikostyringen. Det helt centrale er virksomhedskulturen og processerne for risikostyring. Rapporteringen af risici skal være et output heraf og ikke blot være en øvelse i sig selv. I APQCs artikel ”Enterprise Risk Management: What Boards Need to Know” anføres:

“What boards need to do to be effective is to determine what compliance and risk management processes leadership has in place. How does management know what those risks are? How does it capture those risks? How are managers downstream in the organization identifying, analyzing, and managing those risks? Reporting to the board should be the outgrowth of the primary focus. But in many companies, it is the primary focus.”

En effektiv risikostyring vil gøre organisationen opmærksom på de risici, der påvirker virksomheden. En integreret tilgang til risikostyring sikrer desuden viden på bestyrelsesniveau og gør det lettere at afbøde risici på alle niveauer i organisationen.


Yderligere inspiration

Du kan også finde inspiration i APQC’s artikel, ”Enterprise Risk Management: What Boards Need to Know”, som du kan få gratis ved at henvende dig til info@basico.dk


Basicos rammeværktøj for risikostyring

Kontinuerlig identifikation og kvantificering af risici samt vurdering af hændelsernes sandsynlighed og konsekvens gør det muligt for virksomheden at forholde sig til og styre de risici, der er væsentlige i relation til værdiskabelsen. Vores rammeværktøj for risikostyring baserer sig på danske og internationale anbefalinger for god selskabsledelse, herunder anbefalingerne fra COSO (international standard for risikostyring).


Basico kan hjælpe

Vores konsulenter er specialister i risikostyring. Vi hjælper med at identificere risici, kortlægge virksomhedens nuværende risikostyring, udvikle en fremadrettet struktur, implementere og vedligeholde. Kontakt Basico på tlf. 702 703 71 / e-mail info@basico.dk for en snak om, hvordan din virksomhed bliver bedre rustet til at styre risici.


 

Tag din faglighed til next level

Få et fagligt indspark med substans direkte i indbakken. Tilmeld dig vores nyhedsmail, og modtag vores faglige magasin Content.

Tilmeld dig her