Effektiv risikostyring

Det er snart et årti siden, at den globale finanskrise tvang virksomheder til at tage en mere defensiv tilgang til risikostyring. Det betød, at mange virksomheder trak ansvaret tilbage fra forretningen til virksomhedens risikostyrings- og compliance- funktioner.

Det generelle risikolandskab har siden udviklet sig til et volatilt forretnings- og geopolitisk miljø med stadig mere sofistikeret teknologi og deraf følgende muligheder og trusler. Hvilke risici, den enkelte virksomhed præcis er eksponeret for, afhænger af, hvilken industri virksomheden opererer i, virksomhedsspecifikke forhold og ikke mindst virksomhedens strategi og globale udbredelse.

Det er i dag nødvendigt med en koordineret og integreret indsats på tværs af virksomheden, hvis man skal håndtere risici effektivt og sikre en profitabel vækst.

Bestyrelsens rolle og ansvar

Ifølge selskabslovens §115 stilles der krav til bestyrelsen om at forholde sig til virksomhedens risikostyring. For at bestyrelsen og direktionen kan varetage de opgaver, der er pålagt dem, er det afgørende, at der i virksomheden er etableret et effektivt risikostyringsmiljø samt effektive interne kontroller til understøttelse heraf. Det er derfor særdeles vigtigt, at bestyrelsen sikrer sig, at netop dette er tilfældet – ikke mindst fordi det er lovbestemt.

Som følge af dette lovmæssige krav, og da bestyrelsen har det endelige ansvar for at godkende rammerne for virksomhedens risikostyring, bør bestyrelsen spille en aktiv rolle i risikostyringen – både når det gælder fastsættelse af risikoappetit, organisering af risikostyring samt monitorering og rapportering af risici.

Praktisk tilgang til risikostyring

Risikostyring er et redskab til bedre virksomhedsledelse, herunder at skabe et forbedret beslutningsgrundlag. Risikostyring skal ikke gøres til en teknisk disciplin. Det betyder, at bestyrelsen skal kunne omsætte strategi og forretningsmodel til risici – uden tekniske specialister. Vigtige delkomponenter i en robust og effektiv risikostyring inkluderer:

• Fastlæggelse af risikostrategi
• Fastlæggelse af risikoappetit
• Identifikation og måling af risici
• Monitorering og rapportering af risici.

1. Fastlæggelse af risikostrategi

Risikostrategien danner rammeværket for virksomhedens styring af risici og indeholder elementer som målsætning, risikoappetit, organisering (inklusiv delegering af ansvar samt identifikation), måling, monitorering og rapportering af risici.

En klart defineret risikostrategi, der tydeligt kommunikerer virksomhedens holdning til risici, herunder hvilke risici, der styres og hvordan, vil understøtte en effektiv beslutningsproces og effektiv brug af virksomhedens ressourcer.

Der bør hertil implementeres en governance-struktur for, hvordan risikostrategien løbende revurderes. Fx om der er særlige situationer, der vil kræve revurdering af strategien, samt hvem der skal involveres. Der kan være tale om et fast forløb hvert andet eller tredje år, ligesom der herudover bør foretages en revurdering i forbindelse med væsentlige ændringer i virksomheden som følge af eksempelvis ændringer i lovgivning, køb eller frasalg mv.

Bestyrelsen har ansvaret for at godkende virksomhedens risikostrategi, og det er derfor afgørende, at bestyrelsen har en forståelse for risikostrategiens enkelte elementer, samt hvordan disse påvirker hinanden.

2. Fastlæggelse af risikoappetit

Risikoappetitten er det samlede niveau for risiko, som en virksomhed er parat til at påtage sig for at realisere virksomhedens overordnede mål.

Risikoappetitten kan udtrykkes kvalitativt såvel som kvantitativt, hvor de kvalitative mål er mere overordnede og ikke udmelder en præcis grænse for, hvad der er acceptabelt. De kvantitative mål angiver derimod et præcist niveau for, hvad der er acceptabelt. Det betyder også, at disse er nemmere at monitorere og rapportere på.

Overvejelser, der ligger til grund for fastlæggelse af risikoappetitten, kan omfatte:

• Sammenhæng med risikostrategien, herunder områder, hvor man er parat til at acceptere en højere risiko, eller områder, hvor man ikke ønsker at påtage sig nogen form for risiko.
• Overvejelser om, hvorvidt virksomheden historisk har haft for restriktive eller for løse rammer for risiko.
• Vurdering af virksomhedens modenhed inden for de områder, hvor man vil acceptere risiko.

3. Identifikation og måling af risici

Komitéen for god Selskabsledelse anbefaler i relation til risikostyring, at bestyrelsen årligt identificerer de væsentligste forretningsrelaterede risici, der knytter sig til virksomhedens strategi og mål, samt de risici, der har betydning for regnskabsaflæggelsen.

Identifikation og måling af risici foretages ved at indsamle oplysninger om virksomhedens risikoeksponering både i form af kvalitative og kvantitative data. Herefter opgøres målingen af risici, og dermed væsentligheden heraf, i henholdsvis hvilke konsekvenser de har for virksomheden, og hvor hyppigt de forventes at forekomme.

4. Monitorering og rapportering af risici

For at bestyrelsen er i stand til løbende at foretage en vurdering af virksomhedens risici og tage beslutninger herom, anbefales direktionen løbende at holde bestyrelsen informeret om udviklingen på området.

Kommunikationsopgaven er vigtig, men ikke nem, og det anbefales, at bestyrelsen stiller krav til en enkel, relevant og rettidig rapportering, så vigtige risici ikke forsvinder i mængden.

Rapportering af risici kan fx ske kvartalsvist i tilknytning til den øvrige rapportering og kan indeholde:

• En simpel illustration, eksempelvis i form af et ’Risk map’, der giver et overblik over virksomhedens væsentligste risici set i forhold til hinanden.
• Liste med virksomhedens top-10-risici inklusive handlingsplaner og ejerskab.
• Overblik over, hvilke områder eller processer, der er mest eksponeret.
• Aktuelle markedsforhold.
• Ledelsens kortfattede analyse og vurdering.

Som supplement til monitorering og rapportering er selvfølgelig de interne kontroller i virksomheden. Som et vigtigt led i risikostyringen skal de interne kontroller, som begrænser eller identificerer afvigelser fra vedtagne politikker og processer, designes og implementeres på en hensigtsmæssig måde.

Desuden anbefaler vi, at bestyrelsen aktivt udfordrer direktionen i forhold til den løbende monitorering og rapportering af risici.

Sådan organiserer de bedste virksomheder deres risikostyring

Hvordan risikostyring skal forankres i virksomheden, og hvilke roller den enkelte afdeling skal udfylde, er væsentlige elementer i relation til beslutningen om organisering af risikostyring.

En praktisk og ofte anvendt måde at anskue forholdet mellem virksomhedens afdelinger på, er at betragte risikosystemet som tre ’forsvarslinjer’, der giver en brugbar ramme for, hvordan forskellige afdelinger samarbejder.

• ’Første forsvarslinje’ udgøres af udførende ansatte i fx salg, indkøb og produktionsafdelinger, hvor afdelingerne har det primære ansvar for de risici, de påtager sig.
• ’Anden forsvarslinje’ er ansatte eller afdelinger, der er specialiserede inden for risikostyring, intern kontrol og compliance. Deres ansvar er at designe, koordinere og styre en konsekvent ramme og politik for at tage risici uden selv at være direkte eksponeret mod forretningsrisici.
• ’Tredje forsvarslinje’ udgøres af en uafhængig afdeling, eller en eventuel ekstern part, der løbende vurderer, hvorvidt virksomhedens risikostyringssystem er tilstrækkeligt, samt hvorvidt virksomheden efterlever de udstukne rammer for risikostyring.

PwC’s årlige risk management-undersøgelse viser, at virksomheder, hvor ansvaret for risikostyring placeres i første forsvarslinje, har en bedre organisatorisk robusthed og profitabel vækst. I praksis betyder det, at den første forsvarslinje vurderer forretningsrisici og indarbejder risikostyring i både strategisk planlægning og taktisk udførelse. Desuden sikrer de, at de væsentligste risici håndteres på de rigtige tidspunkter i processen. Anden forsvarslinje samarbejder med første forsvarslinje og kontrollerer og giver sparring til optimering af risikostyringsprocesserne. Endelig giver den tredje forsvarslinje en uafhængig og objektiv vurdering af, hvorvidt første og anden forsvarslinjes risikostyringsaktiviteter er forsvarlige og effektive.