Struktureret risikostyring er et værktøj, bestyrelsen kan bruge til at identificere, rapportere, adressere og prioritere risici.
Lars Nybro Munksgaard har beskæftiget sig med risikoidentifikation og -håndtering i mere end ti år, blandt andet i A.P. Møller – Mærsk og som revisionschef i to banker. Lars har i 2010 stiftet Audita og assisterer nu nogle af Danmarks største virksomheder med etablering af processer for struktureret risikostyring
Gennem de senere år er fokus på bestyrelsens ansvar steget. Det gælder i det private erhvervsliv, hvor bestyrelsesansvar gøres gældende ovenpå konkurser i kølvandet af 2008-krisen. Det gælder også i stigende grad for politisk udpegede bestyrelsesmedlemmer. Et nyligt eksempel herpå er bestyrelsen i DSB, der i sagen om DSB First ikke fik decharge af transportministeren.
Den øgede fokus er gennem de seneste årtier blevet bakket op af stramninger i de formelle krav til bestyrelsens ageren. Det gælder såvel for lovkrav, i f.eks. selskabslovgivningen, som for vejledende bestemmelser udgivet af eksempelvis Komiteen for God Selskabsledelse.
Det må antages, at udviklingen hen imod øget ansvar for bestyrelsesmedlemmer også vil fortsætte i årene fremover.
De situationer, hvor bestyrelsesmedlemmer stilles til ansvar, kan i det store og hele henføres til sager, hvor den daglige ledelse og/eller bestyrelsen ikke har været bekendt med – eller har undladt at adressere – betydelige risici. For at imødegå den risiko, der ligger i at påtage sig et bestyrelsesansvar, er der således i stigende grad behov for struktureret information til bestyrelsen om de risici, en organisation påtager sig.
Det kan således undre, at der ikke i højere grad, end det har været tilfældet, har været iværksat effektive systemer til identifikation, prioritering, adressering og rapportering af risici.
De tilgængelige værktøjer, der primært har været udviklet af revisorer og forskere, har efter mange brugeres opfattelse været for akademiske. Resultatet har været, at implementeringen har været opfattet som ressourcekrævende i forhold til kvaliteten af det endelige resultat. Derfor har der været brug for at udvikle en proces, der var enkel og skalerbar. Resultatet kan anvendes af alle typer af organisationer – store som små, kommercielle som ikke-kommercielle.
Denne artikel indeholder en kort beskrivelse af en metode, der kan anvendes til identifikation, prioritering, adressering og rapportering af risici.
Risikoidentifikation
I samarbejde med ledelsen udvælges en række nøglepersoner, der skal bidrage med viden med henblik på etablering af en bruttoliste over organisationens risici. Antallet af nøglepersoner kan variere fra 10-15 personer for en mindre eller mellemstor organisation, til ca. 30 personer for en virksomhed i C20-klassen. Der foretages interviews af disse personer. Såfremt organisationen ønsker det, kan det aftales, at også en af kundens medarbejdere deltager i interviewene. Formålet med disse interviews er at få belyst organisationens risici fra forskellige vinkler. Som risici betragtes hændelser (eller ikke-hændelser), der kan bevirke, at organisationen ikke når sine overordnede målsætninger. Nøglepersonerne vil inkludere den daglige ledelse, specialister samt – hvis det ønskes – et eller flere bestyrelsesmedlemmer.
Ved afslutning af interviewrækken bliver den indsamlede information anvendt til etablering af en bruttoliste, der omfatter alle væsentlige risici drøftet på møderne; typisk 25-40 risici.
Risikoprioritering
De nøglepersoner, der har deltaget i interviewprocessen, bliver bedt om at score de identificerede risici på simple skalaer fra 1 til 6 for såvel sandsynligheden for, at risikoen opstår, som for den potentielle indvirkning, såfremt risikoen skulle materialisere sig.
Risici indplaceret i det mørkeblå område er risici med en høj forekomst. Disse ”risici” har så høj en forekomst, at det snarere giver mening at tale om tilstande. Disse tilstande kan enten være ønskede (fordi de er en naturlig del af organisationens forretningsførelse) eller uønskede (uhensigtsmæssigheder i organisationens processer).
Risici indplaceret i det stærk blå område er kritiske risici. Kritiske risici bør drøftes på bestyrelsesniveau, uanset om sandsynligheden for, at de måtte forekomme, er lav.
Risici i det lyseblå område er andre betydelige risici. Disse risici har en kombination af sandsynlighed og indvirkning, der gør, at det bør overvejes, om man ved ændring i procedurer kan mindske enten sandsynlighed eller potentiel indvirkning.
Risici i det grå område kræver normalt ikke særlige foranstaltninger.
Adressering af risici
På baggrund af risicienes indplacering i risikodiagrammet besluttes, hvilke risici der skal adresseres. Den daglige ledelse beslutter, hvilke personer i organisationen der er ansvarlige for at udarbejde handlingsplaner for disse risici. Risicienes placering i risikodiagrammet har betydning for målsætningen for disse handlingsplaner.
De ansvarlige personer forelægger handlingsplanen til den daglige ledelses godkendelse.
Rapportering af risici
Den daglige ledelse forelægger resultatet af processen for bestyrelsen til diskussion og endelig godkendelse. Bestyrelsen har her mulighed for at diskutere risicienes placering i risikodiagrammet, samt tilstrækkeligheden af de handlingsplaner, der er udarbejdet.
Blandt folk, der beskæftiger sig med Corporate Governance, er der konsensus om, at bestyrelsen er ansvarlig for at definere en organisations risikoappetit. Denne diskussion er imidlertid vanskelig at gennemføre i praksis, såfremt der ikke foreligger materiale til understøttelse af diskussionen. Med risikodiagrammet har bestyrelsen et værktøj til brug for diskussionen. Bestyrelsen kan for eksempel beslutte, at man ønsker at sænke (eller hæve) tærsklen for, hvornår en risiko anses for at være kritisk.
På efterfølgende bestyrelsesmøder bør bestyrelsen løbende orienteres om fremskridt på de vedtagne handlingsplaner.
Opfølgning
En struktureret risikostyringsproces fordrer, at risici løbende identificeres og prioriteres. Nogle organisationer kan beslutte, at en årlig risikoidentifikation og -prioritering er tilstrækkelig. For mange organisationer vil det være formålstjenligt, at der sker en halvårlig opdatering. Hvor ofte opdateringen bør foretages, afhænger af den enkelte organisations forhold, og beslutning herom bør træffes i dialog mellem bestyrelse og daglig ledelse.
Konklusion
Struktureret risikostyring er ikke kun et værktøj til simpel risikoafdækning. Når struktureret risikostyring er bedst, er det et simpelt og omkostningseffektivt ledelsesværktøj, som man ikke vil undvære, når man først har prøvet det.
For store og mellemstore organisationer vil det i fremtiden være et krav, at man etablerer en form for struktureret risikostyring. For dem er det ikke spørgsmålet, om det kommer, men hvornår det kommer.