Effektiv risikostyring

Det er snart et årti siden, at den globale finanskrise tvang virksomheder til at tage en mere defensiv tilgang til risikostyring. Det betød, at mange virksomheder trak ansvaret tilbage fra forretningen til virksomhedens risikostyrings- og compliance-funktioner.

Det generelle risikolandskab har siden udviklet sig til et volatilt forretnings- og geopolitisk miljø med stadig mere sofistikeret teknologi og deraf følgende muligheder og trusler. Hvilke risici, den enkelte virksomhed præcis er eksponeret for, afhænger af, hvilken industri virksomheden opererer i, virksomhedsspecifikke forhold og ikke mindst virksomhedens strategi og globale udbredelse.

Det er i dag nødvendigt med en koordineret og integreret indsats på tværs af virksomheden, hvis man skal håndtere risici effektivt og sikre en profitabel vækst.

Bestyrelsens rolle og ansvar

Ifølge selskabslovens §115 stilles der krav til bestyrelsen om at forholde sig til virksomhedens risikostyring. For at bestyrelsen og direktionen kan varetage de opgaver, der er pålagt dem, er det afgørende, at der i virksomheden er etableret et effektivt risikostyringsmiljø samt effektive interne kontroller til understøttelse heraf. Det er derfor særdeles vigtigt, at bestyrelsen sikrer sig, at netop dette er tilfældet – ikke mindst fordi det er lovbestemt.

Som følge af dette lovmæssige krav, og da bestyrelsen har det endelige ansvar for at godkende rammerne for virksomhedens risikostyring, bør bestyrelsen spille en aktiv rolle i risikostyringen – både når det gælder fastsættelse af risikoappetit, organisering af risikostyring samt monitorering og rapportering af risici.

Kort opsummering

Effektiv risikostyring skal sikre:

  • En klar ansvarsfordeling omkring risikostyring – hvem gør hvad?
  • En effektiv og fokuseret forebyggelse af de rigtige og væsentligste risici.
  • Løbende rapportering, der giver et retvisende billede af virksomhedens aktuelle eksponering.
  • Robust opfølgning, der sikrer et beredskab overfor kendte såvel som ukendte risici.

Praktisk tilgang til risikostyring

Risikostyring er et redskab til bedre virksomhedsledelse, herunder at skabe et forbedret beslutningsgrundlag. Risikostyring skal ikke gøres til en teknisk disciplin. Det betyder, at bestyrelsen skal kunne omsætte strategi og forretningsmodel til risici – uden tekniske specialister. Vigtige delkomponenter i en robust og effektiv risikostyring inkluderer:

  • Fastlæggelse af risikostrategi
  • Fastlæggelse af risikoappetit
  • Identifikation og måling af risici
  • Monitorering og rapportering af risici

1. Fastlæggelse af risikostrategi

Risikostrategien danner rammeværket for virksomhedens styring af risici og indeholder elementer som målsætning, risikoappetit, organisering (inklusiv delegering
af ansvar samt identifikation), måling, monitorering og rapportering af risici.

En klart defineret risikostrategi, der tydeligt kommunikerer virksomhedens holdning til risici, herunder hvilke risici, der styres og hvordan, vil understøtte en effektiv beslutningsproces og effektiv brug af virksomhedens ressourcer.

Der bør hertil implementeres en governance-struktur for, hvordan risikostrategien løbende revurderes. Fx om der er særlige situationer, der vil kræve revurdering af strategien, samt hvem der skal involveres. Der kan være tale om et fast forløb hvert andet eller tredje år, ligesom der herudover bør foretages en revurdering i forbindelse med væsentlige ændringer i virksomheden som følge af eksempelvis ændringer i lovgivning, køb eller frasalg mv.

Bestyrelsen har ansvaret for at godkende virksomhedens risikostrategi, og det er derfor afgørende, at bestyrelsen har en forståelse for risikostrategiens enkelte elementer, samt hvordan disse påvirker hinanden.

View more

2. Fastlæggelse af risikoappetit

Risikoappetitten er det samlede niveau for risiko, som en virksomhed er parat til at påtage sig for at realisere virksomhedens overordnede mål.

Risikoappetitten kan udtrykkes kvalitativt såvel som kvantitativt, hvor de kvalitative mål er mere overordnede og ikke udmelder en præcis grænse for, hvad der er acceptabelt. De kvantitative mål angiver derimod et præcist niveau for, hvad der er acceptabelt. Det betyder også, at disse er nemmere at monitorere og rapportere på.

Overvejelser, der ligger til grund for fastlæggelse af risikoappetitten, kan omfatte:

  • Sammenhæng med risikostrategien, herunder områder hvor man er parat til at acceptere en højere risiko, eller områder hvor man ikke ønsker at påtage sig nogen form for risiko.
  • Overvejelser om, hvorvidt virksomhe- den historisk har haft for restriktive eller for løse rammer for risiko.
  • Vurdering af virksomhedens modenhed inden for de områder, hvor man vil acceptere risiko.

View more

3. Identifikation og måling af risici

Komitéen for god Selskabsledelse anbefaler i relation til risikostyring, at bestyrelsen årligt identificerer de væsentligste forretningsrelaterede risici, der knytter sig til virksomhedens strategi og mål, samt de risici, der har betydning for regnskabsaflæggelsen.

Identifikation og måling af risici foretages ved at indsamle oplysninger om virksomhedens risikoeksponering både i form af kvalitative og kvantitative data. Herefter opgøres målingen af risici, og dermed væsentligheden heraf, i henholdsvis hvilke konsekvenser de har for virksomheden, og hvor hyppigt de forventes at forekomme.

View more

4. Monitorering og rapportering af risici

For at bestyrelsen er i stand til løbende at foretage en vurdering af virksomhedens risici og tage beslutninger herom, anbefales direktionen løbende at holde bestyrelsen informeret om udviklingen på området.

Kommunikationsopgaven er vigtig, men ikke nem, og det anbefales, at bestyrelsen stiller krav til en enkel, relevant og rettidig rapportering, så vigtige risici ikke forsvinder i mængden.

Rapportering af risici kan fx ske kvartalsvist i tilknytning til den øvrige rapportering og kan indeholde:

  • En simpel illustration, eksempelvis i form af et ’Risk map’, der giver et overblik over virksomhedens væsentligste risici set i forhold til hinanden
  • Liste med virksomhedens top-10-risici inklusiv handlingsplaner og ejerskab
  • Overblik over, hvilke områder eller processer, der er mest eksponeret
  • Aktuelle markedsforhold
  • Ledelsens kortfattede analyse og vurdering

Som supplement til monitorering og rapportering er selvfølgelig de interne kontroller i virksomheden. Som et vigtigt led i risikostyringen skal de interne kontroller, som begrænser eller identificerer afvigelser fra vedtagne politikker og processer, designes og implementeres på en hensigtsmæssig måde.

Desuden anbefaler vi, at bestyrelsen aktivt udfordrer direktionen i forhold til den løbende monitorering og rapportering af risici.

View more

Sådan organiserer de bedste virksomheder deres risikostyring

Hvordan risikostyring skal forankres i virksomheden, og hvilke roller den enkelte afdeling skal udfylde, er væsentlige elementer i relation til beslutningen om organisering af risikostyring.
En praktisk og ofte anvendt måde at anskue forholdet mellem virksomhedens afdelinger på, er at betragte risikosystemet som tre ’forsvarslinjer’, der giver en brugbar ramme for, hvordan forskellige afdelinger samarbejder.

  • ’Første forsvarslinje’ 
    udgøres af udførende ansatte i fx salg, indkøb og produktionsafdelinger, hvor afdelingerne har det primære ansvar for de risici, de påtager sig.
  • ’Anden forsvarslinje’ 
    er ansatte eller afdelinger, der er specialiserede inden for risikostyring, intern kontrol og compliance. Deres ansvar er at designe, koordinere og styre en konsekvent ramme og politik for at tage risici uden selv at være direkte eksponeret mod forretningsrisici.
  • ’Tredje forsvarslinje’ 
    udgøres af en uafhængig afdeling, eller en eventuel ekstern part, der løbende vurderer, hvorvidt virksomhedens risikostyringssystem er tilstrækkeligt, samt hvorvidt virksomheden efterlever de udstukne rammer for risikostyring.

Desuden sikrer de, at de væsentligste risici håndteres på de rigtige tidspunkter i processen. Anden forsvarslinje samarbejder med første forsvarslinje og kontrollerer og giver sparring til optimering af risikostyringsprocesserne. Endelig giver den tredje forsvarslinje en uafhængig og objektiv vurdering af, hvorvidt første og anden forsvarslinjes risikostyringsaktiviteter er forsvarlige og effektive.

Et risikostyringsøkosystem styret fra frontlinjen, der fremelsker samarbejde og fælles ansvar på tværs af alle tre forsvarslinjer, placerer virksomheden i en position, hvor den på effektiv vis kan møde udfordringerne i risikolandskabet af idag.

PwC’s årlige risk management-undersøgelse fra 2018 viser, at virksomheder, hvor ansvaret for risikostyring placeres i første forsvarslinje, har en bedre organisatorisk robusthed og profitabel vækst. I praksis betyder det, at den første forsvarslinje vurderer forretningsrisici og indarbejder risikostyring i både strategisk planlægning og taktisk udførelse.

(Kilde: PwC’s Risk in review: Managing risk from the front line, 6th Annual Study, April 2017)

Guide til at flytte risikostyringen til første forsvarslinje

Der er i praksis stor forskel på, hvordan virksomheder griber risikostyring an. Dog giver vi i det følgende et bud på, hvordan bestyrelsen, ved at følge fem trin, kan skabe rammerne for en robust og effektiv risikostyring ved at flytte ansvaret for styring af risici til den første forsvarslinje.

1. Sæt ambitiøse og entydige mål inklusiv fokus på risici

  • Bestyrelsen og direktionen bør sætte entydige mål og udleve disse, ligesom de løbende bør overvåges og måles for at vurdere effektiviteten.
  • Direktionen bør sikre en performancekultur og incitamentsstyring i overensstemmelse med virksomhedens risikokultur.
  • Ledelsens bør kommunikere klare og konsistente meddelelser på tværs af virksomheden.
  • Risici bør indarbejdes i de daglige rutiner og i beslutningstagning.

View more

2. Ensret risikostyringen med strategien på tidspunktet for beslutningstagningen

  • Et klart overblik over virksomhedens strategi giver den første forsvarslinje en fælles vision om at tilpasse beslutninger og adfærd. Dette gør virksomheden i stand til at reagere hurtigere på risici og disruption.
  • Beslutningstagere bør integrere risikostyring i både strategisk planlægning og taktisk udførelse.

View more

3. Justér risikostyringen på tværs af de tre forsvarslinjer

  • For at sikre en optimal formåen bør den første forsvarslinje eje beslutningstagningen for risici. Den anden forsvarslinje bør så overvåge denne, og den tredje forsvarslinje bør foretage uafhængig og objektivt tilsyn.
  • Tydelige rammer og snitflader mellem de tre forsvarslinjer bør identificeres og defineres for at gøre det muligt at koordinere roller og ansvar effektivt. Ledelsen kan dermed bedre definere risici og tildele dem på tværs af de tre forsvarslinjer. Desuden kan ledelsen sikre, at de styres på de rigtige steder.
  • Hver forsvarslinje bør tildeles de rette informationer og nødvendige ressourcer for at fungere effektivt.

View more

4. Implementér en tydeligt defineret risikoappetit og et rammeværk på tværs af organisationen

  • Definér de risici, som virksomheden er villig til at tage for at opnå sine ambitiøse mål; risici, der ikke kan tolereres; risici, der kan tolereres over en kortere periode – og risici, som er nødvendige, da de er forbundet med opnåelsen af strategien.
  • Udarbejd en fælles begrebsramme for risikostyring, som styrer processen for aggregering, monitorering og antagelsen af risici. Denne proces bør udnytte teknologi og dataanalyse så vidt muligt.
  • Risikoappetitten og rammeværket bør kommunikeres klart og tydeligt til beslutningstagere.

View more

5. Udvikle risikorapportering, som gør det muligt for direktionen og bestyrelsen effektivt at udføre deres risikostyrings­ansvar

  • Forbedre datastyring og dataindsamlingsprocesser for at understøtte risikorapporteringen.
  • En robust proces for aggregering, monitorering og rapportering af risici er afgørende for at sikre, at beslutnings- tagningen sker inden for den fastsatte risikoappetit og tolerance.
  • Rapporterings- og monitoreringspro- cesser bør overvåge risici og tilhørende risikostyringsaktiviteter regelmæssigt.
  • Virksomhedens væsentlige risici bør tildeles ejere, som er forpligtet til at udarbejde detaljerede, tidsbestemte risikohandlingsplaner.

View more

Guiden til implementering af risikostyring – ledet i første forsvarslinje med et tæt samarbejde med øvrige forsvarslinjer – er et godt udgangspunkt for effektivt at kunne styre virksomhedens risici og efterleve de gældende Anbefalinger for god Selskabsledelse i forhold til risikostyring.

Guiden er et godt udgangspunkt, der kan udvides i takt med, at virksomhedens kompleksitet vokser.

PwC’s anbefalinger til bestyrelsen:

  • Bestyrelsens interesse er afgørende for succes. Indled derfor en god dialog med ledelsen om risici og risikostyring.
  • Etablér en simpel politik, der beskriver virksomhedens mål med risikostyring, samt danner tydelige rammer for og snitflader mellem de tre forsvarslinjer.
  • Definér et årshjul for risikostyring, der tydeligt angiver forløbet af aktiviteter. Årshjulet for risikostyring kan være en del af de øvrige årsprocesser, der afvikles i virksomheden.

Kontakt os

Brian Christiansen

Partner, Head of Risk Assurance, PwC Denmark

Tlf: 3945 9080

Brian Christiansen

Partner, Head of Risk Assurance, PwC Denmark

Tlf: 3945 9080

Følg PwC