Magma topp logo Til forsiden Econa

Effektiv virksomhetsstyring

figur-authorfigur-authorfigur-author

Sammendrag

Det stilles stadig større krav til virksomhetsstyring i både privat og offentlig sektor, som følge av strengere regelverk, raskere endringstakt og ikke minst økt behov for styring, kontroll og oppfølging internt. Det har blitt vanskeligere å ta de riktige beslutningene på rett tidspunkt, og konsekvensene av feil beslutninger har blitt større. Inngående kunnskap om og forståelse av risiko og usikkerhet har blitt stadig mer aktualisert på alle nivåer i virksomhetene. For at virksomhetsstyringen skal bli effektiv, må den følge opp både måloppnåelse og usikkerhet på en strukturert og hensiktsmessig måte fra strategi til operativ drift. Dette krever gjennomgående strukturer, prosesser og verktøy for å håndtere både risiko og prestasjon på en effektiv og integrert måte gjennom alle organisasjonsnivåer. EY har gjennom studier* erfart at selskaper som hadde en slik moden, integrert risikostyring, oppnådde tre ganger så høy EBITDA-vekst over tid sammenliknet med de som ikke hadde det. I tillegg er 82 prosent av institusjonelle investorer villige til å betale mer for selskaper som har etablert effektiv virksomhetsstyring på denne måten.

Hensikten med denne artikkelen er å gi en introduksjon til effektiv virksomsomhetsstyring; herunder diskutere dagens utfordringer, hva som kreves for å løse dem, og hva de beste selskapene gjør.

* Basert på 576 intervjuer med ulike selskaper over hele verden, og en gjennomgang av 2750 finansielle analyser, fra rapporten Turning Risk into Results: How leading companies use risk management to fuel better performance, EYG no. AU1082 2012, EY

Begrepsbruk

Siden temaet er heftet med en omfangsrik og overlappene terminologi, starter vi med å definere hva vi legger i de viktigste begrepene:

  • Virksomhetsstyring er summen av de strukturer, prosesser og verktøy som brukes for å styre aktivitet, ressurser og risikoeksponering i en virksomhet.
  • Usikkerhet er differansen mellom den informasjonen som er nødvendig for å ta en sikker beslutning, og den informasjonen som er tilgjengelig på tidspunktet for beslutningen.
  • Risiko er en usikker hendelse eller tilstand som, hvis den inntreffer, har en positiv eller negativ effekt på prosjektets/virksomhetens mål.
  • Risikoappetitt er summen av risiko som en organisasjon er innstilt på å akseptere.

Dagens utfordringer

Investeringene som virksomheter har gjort til nå knyttet til håndtering av usikkerhet og risiko, har primært fokusert på finansielle kontroller og etterlevelse av lover og forskrifter. Dette skyldes blant annet strengere krav til compliance fra myndighetene som følge av de store korrupsjon- og finansskandalene samt større krav til transparens fra samfunnet for øvrig.

Utviklingen de siste årene har endret hvordan virksomheter bør håndtere risiko og usikkerhet i virksomhetsstyringen. Søkelyset bør ikke lenger bare være på trusler om nedside og tap, men også inkludere hvordan man skal sikre de mulighetene som oppstår, og følge opp gjennomføringsevnen i virksomheten. Historiske resultater viser nemlig at dårlige strategiske valg og manglende gjennomføring har resultert i større tap av aksjonærverdier enn alle skandaler innen finansiell rapportering til sammen. 1

Tradisjonelt har risiko- og virksomhetsstyring vært organisert som to separate domener, med ulikt fokus og tilnærming, som dermed har blitt adskilt når ledelsen skal ta viktige strategiske beslutninger. Vår erfaring er at det er mange ledere som fortsatt ikke ser på risikostyring som del av strategiprosessen eller virksomhetsstyringen. Det er også mange ledere som opplever det som utfordrende å identifisere og håndtere usikkerhet som kan ha en innvirkning på resultater. 2

Risikostyring har tradisjonelt vært oppfattet som en compliance-funksjon – en isolert tilleggsaktivitet, delegert fra ledelsen til risikoeksperter. Mange virksomheter har derfor organisert risikostyring basert på en silomentalitet, et ineffektivt styringssystem med mangel på samarbeid og uten ledelsesfokus. 3 Håndtering og kommunikasjon av usikkerhet og risiko på tvers av prosesser, funksjoner og nivåer i virksomheten har i for stor grad vært ikke-eksisterende.

En viktig forklaringsvariabel er at risiko kun har vært oppfattet som en nedside. Det har vært fokus på fortid og ingen kobling mot strategiske målsettinger. «Fortidens» risikoeksperter gjorde en vurdering av hendelser som inntraff, og satte deretter i gang tiltak for å unngå en repetisjon av hendelsen. Konsekvensen blir at mange virksomheter jobbet reaktivt med risiko og internkontroll.

Økt endringstakt, nye markeder, digitalisering og nye krav fra myndighetene og samfunnet for øvrig betyr nye muligheter, men også økt usikkerhet. Hvis risikostyring forblir en siloformet compliance-funksjon, med lange kommunikasjonsveier og svakt ledelsesfokus, vil identifisering og utnyttelse av sentrale risikoer bli svært utfordrende. Proaktivt arbeid for å planlegge under usikkerhet og være forberedt på risiko vil være kritisk for virksomheter fremover. Inngående kunnskap og forståelse av risiko og usikkerhet blir derfor stadig mer aktualisert på alle nivåer og forretningsområder i virksomhetene. Ledere på alle nivåer og på tvers av virksomheten er avhengig av rask informasjon om risiko for å kunne ta de riktige beslutningene til riktig tid. Dette viser seg å være vanskelig å få til med det tradisjonelle oppsettet og synet på risikostyring.

Hva må til for å lykkes

For å lykkes er det avgjørende at risikostyring innarbeides i alle virksomhetsstyringsprosessene – fra strategi og planarbeid, til gjennomføring, oppfølging og forbedringsarbeid. Ambisjonen bør være at følgende spørsmål må kunne besvares strukturert og sammenhengende på alle nivåer:

  • Hva er våre ambisjoner og mål? Hvilke strategiske valg har vi gjort?
  • Hva er de største usikkerhetene fremover? Hvor usikre er vi?
  • Hvilke risikoer driver usikkerheten? Hvordan håndterer vi disse?
  • Hva er dagens situasjon? Hvordan presterer vi på de sentrale områdene?
  • Hvilke risikoer er vi utsatt for nå? Er det de riktige risikoene gitt vår strategi?
  • Hvor mye risiko er vi villig til å ta? Er vi innenfor vår valgte risikoappetitt?
  • Hvilke tiltak skal vi prioritere i neste periode? Hva skal vi gjøre mer av? Hva skal vi slutte å gjøre?

Ved å sikre gode svar på spørsmålene over bør virksomhetsstyringen bidra til å sikre at beslutningene blir mer helhetlige og balanserte både når det gjelder prestasjoner (mål) og usikkerheten (både oppside- og nedsiderisiko).

I praksis vil dette bety at ledere må få samme tilgang på risikoinformasjon som de får innenfor prestasjonsindikatorer/-drivere. Det er utviklingen i både prestasjons- og risikoindikatorene som må drive adferd og igangsetting av nødvendige aktiviteter.

Videre må dagens silobaserte organisering av risikofunksjonen endres. Risikofunksjonen må få en tydelig rolle som rådgiver til beslutningsdeltakere, på samme måte som business controllere, som har ansvaret for å understøtte og utfordre ledere når det gjelder prestasjonsstyring og beslutningsinformasjon. Søkelyset må endres fra compliance i etterkant til håndtering av risiko og usikkerhet i forkant.

Styringsmodellen må endres slik at det blir stilt like krav og prinsipper til både prestasjonsindikatorer og risikoindikatorer. Dette betyr blant annet at det må settes mål med tilhørende risikoappetitt som står i forhold til strategien. Målene og risikoappetitten må deretter fordeles og omsettes i handling gjennom planlegging av tiltak/prosjekter med delmål, milepæler og usikkerhet ned gjennom nivåene. I gjennomføringen må virksomheten jobbe med forbedring av prestasjon, redusere avvik og håndtere usikkerheten. Tiltakene/prosjektene og risikoprofil må periodisk evalueres og innarbeides i klart definerte læringssløyfer. Ved avvik fra plan, svake prognoser eller uønsket risiko må tiltak identifiseres og iverksettes på lavest mulig nivå. Vår erfaring er at lykkes styringsprosessene på laveste nivå, så lykkes virksomheten. Har de ikke mandat til å gjennomføre de nødvendige tiltakene, eller effektene av egne tiltak uteblir, må problemstillingen løftes til riktig nivå i organisasjonen så raskt som mulig. Denne styringsprosessen må henge sammen på tvers av alle nivåer fra strategisk ambisjon og ned til daglig handling, som illustrert i figur 1.

figur

Figur 1 Sammenhengen mellom styringsprosessene på ulike nivå i virksomheten.

Dette gjør de beste

De beste selskapene vet hvilken usikkerhet de er eksponert for. De vet hvor mye risiko de er villig til å ta, og søker å utnytte dette maksimalt. Disse virksomhetene har definerte og artikulerte ambisjons- og akseptnivåer for både risiko og prestasjon. Dette er kommunisert og implementert av styret og ledelsen slik at de blir integrert i alle strategiske vurderinger, som større investeringsbeslutninger og risikoeksponering av porteføljer. I strategiske og taktiske vurderinger har de identifisert de sentrale driverne for oppside- og nedsiderisiko, gjort vurderinger av om den totale eksponeringen er innenfor besluttet risikoappetitt, og definert tiltak for å redusere usikkerheten fremover. Dette er illustrert i figur 2.

figur

Figur 2 Håndtering av usikkerhet som basis for tiltak.

Kunnskapen rundt drivere for prestasjon og usikkerhet knyttet til valgt strategi brukes til å utlede gode KPI-er/KRI-er for de ulike prosessene samt tilhørende grenseverdier. I tillegg defineres det hvilke eksterne datakilder som må overvåkes for å fange kritiske endringer og unngå overraskelser. Den mest relevante informasjonen knyttet til prestasjon, risiko og usikkerhet samles i strukturerte, tilpassede styringstavler (dashboard) for de ulike lederrollene i organisasjonen.

For å sikre gjennomføringskraft og riktig bruk av styringsinformasjonen er robuste styrings- og oppfølgingsprosesser definert. Det fokuseres kontinuerlig på etterlevelse i beslutningsarenaene i hele organisasjonen, og man oppfordrer til kontinuerlig forbedring gjennom alle nivåer i organisasjonen. For å støtte lederne har man etablert og tilgjengeliggjort et felles rammeverk og verktøy for håndtering av risiko og usikkerhet som kommuniseres strukturert til alle interessenter. Ledelsen stiller tydelig krav til at det både rapporteres og følges opp på risiko og prestasjon på alle nivåer. Oppfølgingsprosessene er konsentrert om de kritiske driverne fremover som gir bedre smidighet til å gå fremover og stimulerer ledere til å kontinuerlig revidere planer, scenarier og fokusområder samt eskalere avvik om nødvendig.

Risikofunksjonene i virksomhetene (intern revisjon, intern kontroll, risikostyring, compliance osv.) har koordinert sine mandater, metoder og rapporteringsstrukturer. De deler informasjon effektivt og jobber sammen med linjeledelsen som forretningspartnere innen sine områder.

De beste utnytter teknologi til å automatisere rapportering og konsolidering i virksomhetsstyringen. I tillegg har de ofte tatt i bruk systemer for operasjonell risikostyring og compliance (GRC) for å automatisere og integrere risikorapporteringen og håndteringen av risikoappetitt.

I sum har selskaper med effektiv virksomhetsstyring 9 kjennetegn:

  1. De har alle en tydelig strategi. Alle vet hvor virksomheten skal, hvorfor de skal dit, hva man har valgt bort, hva planen er for å komme dit, hvilke sentrale risikoer man står overfor, og hvor stor risikoeksponering man er villig til å tåle.
  2. De har tydelige prinsipper for styring. Det er tydelig definert hva det betyr å være en leder, hvordan beslutninger fattes, og hvordan lederskapet skal utøves for å styre både prestasjon og risiko på alle nivåer.
  3. De har tydelige roller med krav til prestasjon – det er ingen tvil av hvem som har ansvar for hva, hvem som beslutter hva, hva som er en god prestasjon, hvordan risiko skal håndteres, og kravene som stilles til kompetanse. Risikofunksjonen har et tydelig mandat som forretningspartner – som skal bistå linjen i å styre egen risikoeksponering og evaluere/revidere de sentrale forretningsrisikoene samt overvåke sentrale eksterne risikoer.
  4. De har en tydelig link fra strategi til operative planer – standardiserte, robuste styringsprosesser sikrer at overordnede valg gjenspeiles i prioriteringer, risikoeksponering og planer ned til operativt nivå og brukes aktivt i evaluering av prestasjoner.
  5. De har tilgjengelig og relevant styringsinformasjon – alle vet om de har hatt en god dag eller ikke. KPI-er og KRI-er er definert basert på drivere for prestasjon og usikkerhet i henhold til valgt strategi. Gode løsninger sørger for at riktig informasjon er tilgjengelig til riktig tid.
  6. De har aktiv overvåkning av eksterne drivere – sentrale drivere for risiko og prestasjon utenfor selskapet overvåkes kontinuerlig, og informasjonen brukes aktivt av ledelsen i beslutningsprosesser og beredskapsplaner om sentrale antagelser slår feil.
  7. De har et aktivt forhold til risikoeksponering – kvantifisert mål for hvor mye risiko de er eksponert for i den neste perioden sammenliknet med egen appetitt, samt et tilgjengelig og velkjent rammeverk for å jobbe strukturert med å redusere risikonivået om nødvendig.
  8. De har et strukturert fokus på læring og forbedring – effekt av tiltak evalueres strukturert, både risikoreduserende og prestasjonshevende tiltak må måle effektene de har oppnådd på KPI-er/KRI-er. Manglende effekt eller svake prognoser trigger korrigerende tiltak. Beste praksis oppdateres basert på faktabaserte tester og deles aktivt. Det stilles krav til strukturert forbedringsarbeid på alle nivåer.
  9. De har en sannhet – datafangst og utregninger er standardisert og har stor tillit i organisasjonen. Mesteparten av datafangst, aggregering og rapportering er automatisert og tilbyr raskt oppdaterte data.

Oppsummering

I denne artikkelen har vi diskutert utfordringene med tradisjonell risiko- og virksomhetsstyring samt hvordan de beste virksomhetene integrerer risiko i virksomhetsstyringen. Med dagens raske endringer må virksomheter bli mer fleksible og se på risiko med nye øyne. Historiske resultater viser at dårlig strategisk valg og manglende gjennomføring har ført til større tap i aksjonærverdier enn alle finansielle rapporteringsskandaler til sammen. Det er derfor kritisk at virksomheter har gode styringssystemer som bidrar til effektiv drift og håndtering av usikkerhet knyttet til prognoser og måloppnåelse. Gjennom strukturert oppfølging av muligheter og nedside fremover kan virksomheter i større grad sikre seg balansert vekst. Risiko- og virksomhetsstyring er to sider av samme sak, og må håndteres under ett. Splitter man disse to prosessene i to ulike og virtuelle separate styringssystemer, reduserer man effektiviteten signifikant, noe som kan gi fatale konsekvenser for selskapet. Ved å integrere risikostyring i ledelsesbeslutningsprosesser vil man lettere identifisere hvilken usikkerhet, muligheter og utfordringer man står overfor gjøre det lettere å fatte riktig beslutning til riktig tid.

EY har hjulpet flere virksomheter med bedre integrering og utnytting av tradisjonell risikorelatert informasjon i virksomhetsstyringen. Ta gjerne kontakt med en av forfatterne om du vil høre mer om temaet.

  • 1: A New Balanced Scorecard, measuring Performance and Risk, EYG AUO227, 2009, Ernst & Young
  • 2: Turning risk into results, How leading companies use risk management to fuel better performance, EYG no. AU1082 2012, EY
  • 3: Risk Management and the strategy execution system, 2009, Robert S. Kaplan

© Econas Informasjonsservice AS, Rosenkrantz' gate 22 Postboks 1869 Vika N-0124 OSLO
E-post: post@econa.no.  Telefon: 22 82 80 00.  Org. nr 937 747 187. ISSN 1500-0788.

RSS