Fra strategikort til risikostyring

Uanset hvor god en strategi man har lagt, og hvor omhyggeligt strategikortet er udarbejdet, vil det ikke være en garanti for, at strategien lykkes, eller at der ikke tilstøder virksomheden noget utilsigtet. Enhver virksomheds drift er forbundet med en række større og mindre risici – og der er derfor brug for risikostyring. Vi har i tidligere artikler vist, hvordan en offentlig eller selvejende virksomhed kan arbejde med strategi med udgangspunkt i en strategikortlægning og balanced scorecard. I denne artikel sætter vi med dette afsæt fokus på, hvordan risikostyringen integreres heri.

Grundprincipper 

Lidt populært sagt drejer risikostyringen sig for det første om at forudse, hvad der kan gå galt, ved at identificere hændelser, som vil skade virksomheden og dens indtjening, og for det andet at tage for­holdsregler, så sandsynligheden for, at disse hændelser indtræffer, kan reduceres eller skaderne reduceres. Og endelig for det tredje at følge op på, om de nødvendige handlinger bliver gennemført, hvordan risikoen udvikler sig, og hvilke konsekvenser de identificerede risiko­hændelser har for virksomheden, når de indtræffer.

Det er ikke et formelt krav, at en virksomhed skal have en strategi. Derfor er der heller ikke formelle krav til, hvordan bestyrelsen skal forholde sig til implementeringen af strategien, opsætte mål, defi­nere strategiske indsatser mv. Hvad angår risikostyring og interne kontroller, er det imidlertid en bestyrelsesopgave at påse, at der er etableret de fornødne procedurer. Dog indeholder f.eks. selskabslo­ven ikke konkrete anvisninger på, hvad denne risikostyring består af. Corporate governance anbefalingerne fra Komiteen for God Selskabsledelse er mere fokuserede, om end der heller ikke her er angivet specifikke krav ud over, at bestyrelsen skal sikre, at virksom­heden har en effektiv risikostyring og et effektivt internt kontrolsy­stem Risikostyring og kontrolsystemer kan have betydning, da disse med­virker til at reducere strategiske og forretningsmæssige risici, til at sikre overholdelse af gældende regler og forskrifter samt til at sikre kvaliteten af grundlaget for ledelsens beslutninger og den finansielle rapportering, jf. Komiteen for God Selskabsledelse. 

Kritiske succesfaktorer vs. strategiske risici 

Som et særskilt fokusområde for bestyrelsen vil virksomhedens strategivalg medføre bestemte risici, ligesom specifikke forhold vil udgøre særlige risikofaktorer i relation til strategien. Det er vigtigt at være opmærksom på, at de kritiske succesfaktorer, KPI’er og strate­giske indsatser, som diskuteret i de foregående artikler, ikke udgør en risikostyring, men alene følger op på, i hvilket omfang strategien og de planer, som den indebærer, bliver gennemført.

Hvis man som en illustration af dette forestiller sig et selvejende behandlingscenter for sindslidende mennesker med misbrug, der som en kritisk succesfaktor har fokus på at øge andelen af henvendelser direkte fra en hjemmeside med oplysninger om behandlingerne – og at denne hjemmeside „er under udvikling“. En naturlig KPI i strate­gikortet vil være %-del af henvendelser, der foregår via hjemmesiden. Men risikofaktorerne vil f.eks. dreje sig om, hvorvidt oplysningerne på hjemmesiden er retvisende og afspejler de faktiske aktiviteter; eller som en strategisk risikofaktor, hvorvidt hjemmesiden overhovedet kommer til at fungere som tilsigtet.

Ud over de specifikke risikofaktorer, der knytter sig til de kritiske suc­cesfaktorer, som eksemplificeret ovenfor, vil der også være strategiske risici knyttet mere generelt til virksomhedens forretningsmodel, poli­tiske forhold, konkurrenters adfærd og makroøkonomiske forhold.Der kan her være tale om forholdsvis usandsynlige hændelser, som dog alligevel kan indtræffe, hvilket de senere års finanskrise og recession i den globale økonomi har demonstreret. Denne type risici kan ikke overvåges ved en nøgletalsrapportering, og det er i flere større private virksomhe­der praksis at bruge scenarieplanlægning, kriseberedskaber og tilsvarende teknikker til at berede ledelsen på, hvorledes disse risici kan håndteres.

Forskellige typer risici 

Sammenfattende betyder det, at man med fordel kan fokusere risikostyringen på tre aspekter:

  • Governance og compliance risici – Standardiserede processer – Opsplitning af ansvar – Interne kontroller og revision
  • Operationelle og strategiske risici – De kendte ubekendte: Kritiske succesfaktorer – Identificere risici og Key Risk Indicators for Kritiske Succesfaktorer – Integrere, prioritere og overføre risici
  • Enterprise risk – De ukendte ubekendte: Den samlede strategi – Anvend scenarieplanlægning og tilsvarende metoder

Det første risikoområde, governance og compliance risici, vedrører den mere traditionelle risiko­styring, hvor bestyrelsens opgave er at sikre, at direktionen har de nødvendige procedurer og kon­troller, der håndterer dette. Det næste risikoområde vedrører de kritiske succesfaktorer, og endelig vedrører det tredje risikoområde faktorer vedrørende den samlede strategi.

Læs mere om strategikort og strategistyring

Kaplan, Robert S. 2009. Risk Management and the Strategy Execution System. Balanced Scorecard Report, Vol. 11, No. 6 (November – December 2009): 1-6. 

Bukh, Per Nikolaj. 2011. Værktøjer til rette fokus: Målstyring, strategikortlægning og risikostyring. 

Bestyrelsesbogen, Steen Hildebrandt, Søren Brandi & Tommy V. Christiansen (eds). København: Gyldendal Business.