I en tidligere artikel viste vi, hvordan styringen af strategiske risici kunne integreres i virksomhedens arbejde med strategikort. Dette forudsætter dog, at ledelsen har været i stand til at identificere de rigtige risikofaktorer. Der er ikke megen nytte ved at sætte et stort apparat i gang med at forhindre en række hændelse, hvis ikke disse også er de reelle risikohændelser. Derfor vil vi i denne artikel skitsere, hvordan man systematisk kan arbejde med identifikation af risici.
Identifikation af risici
Når risiko og risikostyring er på dagsorden, kan der være en tendens til, at det enten kommer til at dreje sig om relativt komplicerede kvantitative analyser eller om tjeklistebaserede gennemgange af forskellige forhold, som virksomheden helst vil undgå. Det er der ikke nødvendigvis noget forkert ved, idet det blot skal sikres, at der også er fokus på de strategiske risici, som er knyttet til virksomhedens specifikke strategi.
Komiteen for God Selskabsledelse anbefaler, at bestyrelsen mindst en gang årligt identificerer de væsentligste forretningsmæssige risici, der er forbundet med realiseringen af selskabets strategi og overordnede mål, samt risici i forbindelse med regnskabsaflæggelsen. Der findes flere koncepter for intern kontrol og risikostyring, hvoriblandt begrebsrammen udviklet af COSO (The Committee of Sponsoring Organizations of the Treadway Commission) er én af de mest veletablerede. Ligeledes har de fleste større revisionsvirksomheder særlige afdelinger, der rådgiver om risikostyring, og disse har typisk også egne begrebsapparater.
Vi vil ikke anbefale den ene metode frem for den anden, men fælles for de fleste metoder er, at de typisk leder frem til en liste af risici, som efterfølgende vurderes på to dimensioner – væsentlighed og kritiskhed – som vist i figuren. Selvom der ikke ligger en streng videnskabelig vurdering bag kriteriernes vægtning, så vil man ofte, som det også vises i figuren, tildele en risikovægt, f.eks. fra 1-5 på de to dimensioner og så ved at multiplicere de to tal med hinanden nå frem til risikohændelsens væsentlighed.
Et eksempel
I en tidligere artikel her i Dagens Dagsorden illustrerede vi forskellen mellem strategiske mål og risikofaktorer ved et selvejende behandlingscenter for sindslidende mennesker med misbrug, der som en kritisk succesfaktor har fokus på at øge andelen af henvendelser direkte fra en hjemmeside med oplysninger om behandlingerne. Et strategisk mål i strategikortet kunne være %-del af henvendelser, der foregår via hjemmesiden. Men risikofaktorerne vil f.eks. dreje sig om, hvorvidt oplysningerne på hjemmesiden er retvisende og afspejler de faktiske aktiviteter; eller som en strategisk risikofaktor, hvorvidt hjemmesiden overhovedet kommer til at fungere som tilsigtet.
Hvis vi identificerer manglende retvisenhed på en ny hjemmeside som en potentiel risikohændelse, vurderer ledelsen måske, at der er en medium til høj sandsynlighed for, at det vil ske. Det betyder, at hændelsen tildeles vægten 4 for sandsynlighed. Til gengæld vurderes alvorligheden at være relativt lav, så denne får vægten 1. Tilsammen er væsentligheden 4 x 1 = 4.
Tilsvarende gives risikoen for, at hjemmesiden ikke kommer til at fungere 4 og konsekvenserne heraf også 4, hvorfor væsentligheden samlet set er 4 x 4 = 16. Den praktiske implikation af dette er, at der skal være mere fokus på at få hjemmesiden til at fungere frem for at sikre retvisenhed af indholdet. Dette er naturligvis blot et tænkt eksempel – og det kan diskuteres, om alvorligheden ved retvisenhed kun skal gives vægten 1. Men dette er netop pointen i den systematiske tilgang til risikoidentifikationen, at bestyrelsen får et grundlag for at danne en fælles holdning til potentielle risikobegivenheder.
Plan for risikostyring
Det anbefales af Komiteen for God Selskabsledelse, at direktionen løbende rapporterer til det øverste ledelsesorgan om udviklingen inden for de væsentlige risikoområder og overholdelsen af eventuelle vedtagne politikker, rammer mv. med henblik på, at det øverste ledelsesorgan kan følge udviklingen og træffe de nødvendige beslutninger. Rapporteringen bør her ikke blot være en passiv rapportering, men også omfatte tiltag og handlingsplaner, som kan acceptere, eliminere, øge, reducere eller dele disse risici.
Som yderligere inspiration til fastlæggelsen af politikker og procedurer for risikostyring vil vi anbefale den udmærkede publikation Risk Management: Risikostyring og intern kontrol set fra bestyrelsens bord, som Foreningen af Statsautoriserede Revisorer har udgivet. Den samlede proces for risikostyring er her beskrevet med udgangspunkt i modellen vist i figuren.
Læs mere om strategikort og risikostyring
FSR. 2005. Risk Management: Risikostyring og intern kontrol set fra bestyrelsens bord. København: Foreningen af Statsautoriserede revisorer.
Bukh, Per Nikolaj. 2011. Værktøjer til rette fokus: Målstyring, strategikortlægning og risikostyring. I Bestyrelsesbogen, Steen Hildebrandt, Søren Brandi & Tommy V. Christiansen (eds). København: Gyldendal Business.