Magma topp logo Til forsiden Econa

Stein-Ragnar Noreng er statsautorisert revisor fra NHH. Han er partner og ansvarlig for forretningsområdene Enterprise Risk Management og Management Assurance Services i KPMG. Noreng har 15 års erfaring som rådgiver innenfor området Risk Management.

Enterprise Risk Management

-- enda flere kostnader eller en ny måte å øke aksjonærenes verdier på?

Som regel er det et sett av begivenheter og hendelser, ikke nødvendigvis en enkelthendelse, som gjør at virksomheter ender i kriser. I usikre tider har det tradisjonelt blitt mer fokus på å sikre seg, slik at en unngår å havne i en krisesituasjon. Men bør kriser være retningsgivende for risikostyringen i virksomheter, eller bør risk management være en naturlig del av den daglige styringen av enhver privat og offentlig virksomhet?

2001 ble et år med kraftige påminnelser til bedriftsledere og investorer om at all forretningsvirksomhet er forbundet med risiko. Både nasjonalt og internasjonalt har nyhetsbildet vært preget av virksomheter i problemer. Her hjemme var nok Kværners og Enitels problemer de mest fremtredende. Internasjonalt fikk vi en av tidenes største konkurs mot slutten av året da Enron måtte kaste inn håndkleet. Terrorangrepet 11. september gjorde også at mange virksomheter fikk problemer. Mange av disse virksomhetene, for eksempel flyselskapene, hadde riktignok hatt problemer også før dette, men terrorangrepene forsterket dem og gjorde dem mer synlige. Braathens hadde for eksempel store problemer også lenge før 11. september.

ÅPNERE MARKEDER OG STØRRE KONKURRANSE

BegrepetEnterprise Risk Management har ikke oppstått som følge av 11. september. Tvert imot så har dette vokst frem på slutten av 90-tallet i en av de lengste oppgangstidene vestlig, særlig amerikansk, økonomi har opplevd. Selv om virksomhetsledere alltid har ønsket å unngå store negative hendelser, har utviklingen av åpnere markeder og større konkurranse gjort det stadig mer krevende å nå de mål som ledere og eiere setter for sine virksomheter også i gode tider. Dette har ført til et økt behov for styringsmetoder som bidrar til å skape verdier for eierne. I offentlig sektor er parallellen et økende press for å få mer ut av samme eller mindre ressursinnsats. For både privat og offentlig sektor fører dette til at flere ser på risk management på en annen måte enn tidligere og knytter den tett opp mot virksomhetens verdiskaping.

På tvers av bransjer og organisasjoner er det stadig flere ledere som erkjenner at risikoer ikke lenger kun er enkelthendelser som må unngås, men også muligheter som må utnyttes. Mulighetene skaper verdier som til slutt kommer aksjonærene til gode. Eller i form av at offentlige forvaltningsvirksomheter utnytter nye muligheter slik at de øker sine ytelser ovenfor sin brukere. Suzanne Labarge, som er chief risk officer i Royal Bank of Canada har uttalt at «Risiko i seg selv er ikke negativt. Det som er negativt, er at den ikke er tilstrekkelig styrt, forstått eller priset, eller at den er ubevisst.»

Men hvordan kan så ledere på en best mulig måte styre sine risikoer, slik at verdiskapingen blir best mulig? Det er i denne sammenhengen enterprise risk management (ERM) utvikler seg som en ny trend i virksomhetsstyring innenfor privat og offentlig virksomhet. Utviklingen har først og fremst funnet sted utenfor våre grenser, men også norske ledere er i ferd med å forstå at ERM kan være et viktig supplement til dagens styringsstrukturer.

ERM er en strukturert tilnærming for å evaluere og styre de usikkerhetene virksomheten står ovenfor i arbeidet med å nå sine mål. ERM setter strategiske valg, prosesser, mennesker, teknologi og kompetanse i en sammenheng.

Enterprise-wide er et begrep innenfor ERM. Med dette menes at man ser bort fra tradisjonell funksjons-, divisjons- og avdelingsinndeling eller kulturelle barrierer. Et helhetlig perspektiv fokusert på fremtiden og en prosessorientert tilnærming blir dermed et viktig verktøy for å styre alle viktige risikoer og muligheter i organisasjonen.

NYE UTFORDRINGER

Dagens virksomhetsledere møter en stor variasjon av nye utfordringer når de skal forsøke å maksimere aksjonærenes verdier eller øke tilbudet til brukere i offentlig sektor. Globalisering, e-business, strammere budsjetter og nye samarbeidsformer i et stadig mer skiftende miljø utvider og endrer stadig raskere de risikoene en organisasjon står overfor. En viktig konsekvens av dette er at risk management nå også må omfatte forhold som er langt utenfor tradisjonelle finansielle forhold. Dette blir nødvendig for å kunne håndtere risikoer som er strategiske eller operasjonelle, som påvirker renommé, som gjelder medarbeidere og etterlevelse av lover og regler, og som vedrører informasjonshåndteringen. Ved hjelp av ERM kan ledere identifisere, prioritere og styre slike risikoer på tvers av en virksomhet eller en divisjon. De kan også linke de til virksomhetens verdiskaping. På den måten har ERM potensial til å gi organisasjoner en ny konkurransefordel.

De fleste organisasjoner i Norge er likevel ikke særlig kjent eller trygge på konseptet i ERM. Det betyr at svært få organisasjoner har omsatt ERM til konkrete handlinger som kan hjelpe dem til å skape større verdier for aksjonærene eller øke brukertilbudet. Men uansett hvor viktig ERM kan synes i teorien, vil den likevel ikke ha noen verdi i praksis dersom den ikke gjør organisasjonene i stand til å øke verdiskapingen på en måte som de ellers ikke ville være i stand til.

Denne artikkelen beskriver ERM slik den er utviklet til nå, og hvordan virksomheter kan utnytte risk management på en annen måte enn de hittil har gjort. Den peker på hvordan ledere bør analysere virksomhetens kritiske risikoer, balansere dem med sine krav til avkastning og så bruke informasjonen til å øke verdiskapingen.

UTVIKLING AV ERM

Når risikoer endrer seg og øker i omfang, blir lederne mer opptatt av om de tar de riktige risikoene, enn om omfanget av risikoene er innenfor organisasjonens «risikoappetitt». En organisasjon bør i stor grad fastsette sin «risikoappetitt» og «risikokapasitet» på samme måte som en individuell investor. Investoren balanserer sin egen toleranse for risiko mot ønsket om avkastning og bruker den kunnskapen til å fordele investeringene mellom ulike aksjer, obligasjoner og andre finansielle instrumenter.

Definere organisasjonens risikoappetitt

En organisasjons «appetitt» vil variere med den strategien den har valgt, sammen med endrede betingelser i bransjen eller markedene. Hver organisasjon har sin egen unike risikotoleranse. Den vil kunne variere ut fra både organisasjonskultur og eksterne faktorer. I tillegg har vi i norsk aksjelovgivning et klart krav til at selskapet skal ha en forsvarlig egenkapital. Hva som er forsvarlig egenkapital, må vurderes ut fra egenkapitalens størrelse og de samlede risikoene virksomheten står ovenfor. Et kritisk element i ledelsens ansvar er derfor å beslutte hvilke risikoer og hvor mye av hver av dem organisasjonen bør ta. Slike beslutninger må revurderes etter hvert som forutsetningene endres. I motsetning til Total Quality Management (TQM), som ikke tolererer noen feil, står ERM fast på at et visst omfang av feil kan tolereres dersom kostnaden ved å fjerne dem er større enn tapet ved å beholde dem.

Et eksempel kan være en våpenprodusent som kjøper chips til bruk i våpensystemer, mens en PC-produsent bruker dem i PC-er. Begge har sannsynligvis like høye krav til kvaliteten og funksjonaliteten til chips, men meget ulik toleranse for svikt i disse. Våpenprodusenten vil ha en nulltoleranse når det gjelder feil. Sannsynligheten for feil kan være lav, men konsekvensen av en feil vil være stor. Produsenten er derfor nødt til å teste hver eneste chip.

PC-produsenten trenger nødvendigvis ikke å teste hver eneste chip. Han kan bygge på den lave sannsynligheten for feil fordi konsekvensene av slike feil vil være betydelig mindre enn for våpenprodusenten. Forskjellen i risikotoleranse vil føre til ulik ressursallokering og forskjeller i andre ledelsesbeslutninger.

Definere organisasjonens risikoappetitt

En organisasjons «appetitt» vil variere med den strategien den har valgt, sammen med endrede betingelser i bransjen eller markedene. Hver organisasjon har sin egen unike risikotoleranse. Den vil kunne variere ut fra både organisasjonskultur og eksterne faktorer. I tillegg har vi i norsk aksjelovgivning et klart krav til at selskapet skal ha en forsvarlig egenkapital. Hva som er forsvarlig egenkapital, må vurderes ut fra egenkapitalens størrelse og de samlede risikoene virksomheten står ovenfor. Et kritisk element i ledelsens ansvar er derfor å beslutte hvilke risikoer og hvor mye av hver av dem organisasjonen bør ta. Slike beslutninger må revurderes etter hvert som forutsetningene endres. I motsetning til Total Quality Management (TQM), som ikke tolererer noen feil, står ERM fast på at et visst omfang av feil kan tolereres dersom kostnaden ved å fjerne dem er større enn tapet ved å beholde dem.

Et eksempel kan være en våpenprodusent som kjøper chips til bruk i våpensystemer, mens en PC-produsent bruker dem i PC-er. Begge har sannsynligvis like høye krav til kvaliteten og funksjonaliteten til chips, men meget ulik toleranse for svikt i disse. Våpenprodusenten vil ha en nulltoleranse når det gjelder feil. Sannsynligheten for feil kan være lav, men konsekvensen av en feil vil være stor. Produsenten er derfor nødt til å teste hver eneste chip.

PC-produsenten trenger nødvendigvis ikke å teste hver eneste chip. Han kan bygge på den lave sannsynligheten for feil fordi konsekvensene av slike feil vil være betydelig mindre enn for våpenprodusenten. Forskjellen i risikotoleranse vil føre til ulik ressursallokering og forskjeller i andre ledelsesbeslutninger.

Risk Management beveger seg nå utover tradisjonelle tiltak for å begrense risiko (bruke kontroller for å avgrense risiko knyttet til enkelthendelser) mot optimalisering av en risikoportefølje (beslutte organisasjonens risikoappetitt og -kapasitet basert på en helhetlig vurdering av virksomheten samt utnytte muligheter innenfor definerte parametre og kapitalisere på resultatet av disse). På denne måten begynner risk management å bli betraktet som et nytt element i strategisk ledelse ved at forretningsstrategien linkes opp mot dag-til-dag-risikoer.

Enterprise risk management utvikles med dette som utgangspunkt. Det er blitt et viktig verktøy for å identifisere kritiske risikoer som organisasjonen står ovenfor. Det er også blitt viktig for å kunne styre og optimalisere risikoporteføljen på en måte som kan realisere finansielle gevinster i privat sektor og «brukergevinster» i offentlig sektor.

Bruken av ERM varierer i betydelig grad mellom bransjer og organisasjoner. Som en konsekvens av dette er det også ulike definisjoner av ERM. De fleste er likevel enige om at det er en top--down-tilnærming basert på og støttende til virksomhetens strategi. Den fokuserer på nye metoder for å styre og optimalisere risikoer av størst betydning for styret og ledelsen. Avhengig av hvordan ERM tolkes og brukes, benyttes ERM med stor variasjon og med ulike resultat. Dette er nærmere omtalt i neste avsnitt.

figur

Figur 1 Risikomatrise

ERM-VERKTØY OG TEKNIKKER I DAG

Organisasjoner som er tiltrukket av ERM som et nytt element i sin strategiske styring, bruker ERM-konseptet til å vurdere en rekke problemstillinger:

  • Hvilke risikoer står jeg overfor, og hvordan er de i forhold til sammenliknbare virksomheter og mine konkurrenter?
  • Hvordan endres disse risikoene som følge av endringer i mine rammebetingelser og konkurransesituasjon?
  • Hvilket omfang av risikoer bør jeg akseptere?
  • Hvordan bør jeg styre disse risikoene?

For å besvare disse spørsmålene samler og analyserer mange organisasjoner informasjon omkring risikoer ved å bruke en eller flere av de verktøyene som er beskrevet nedenfor.

Verktøy for identifisering og vurdering gjør ledelsesteam i stand til å identifisere og vurdere risikoer på en enhetlig måte for hele organisasjonen. Disse verktøyene gjør også et team i stand til å vurdere «sannsynlighet» (sannsynligheten for at risikoen vil inntreffe) og «konsekvens» (konsekvensen risikoen vil ha dersom den inntreffer).

Ledelsen kan skaffe seg betydelig beslutningskraft fra økt kunnskap om sannsynlighet og konsekvens av risikoer. Gjennom denne prosessen vil ledelsen foreta vurderinger av sannsynlighet og konsekvens av en rekke risikofaktorer. En slik analyse vil gi grunnlag for flere ulike ledelsesbeslutninger. Noen risikoer vil ikke kreve nye tiltak. Andre med høy grad av sannsynlighet og konsekvens, slik som den i øverste høyre kvadrant, vil kreve tiltak fra ledelsens side. Slike risikoer må flyttes til et akseptabelt nivå eller kanskje fjernes helt. Denne typen vurderinger må baseres på analyser av forholdet mellom risiko/avkastning for hele organisasjonen. Risikoer i nedre venstre kvadrant kan være kandidater for redusert kontroll og ressursinnsats.

Styret og toppledelsen bør vurdere en rekke spørsmål når de identifiserer og vurderer risikoer:

Strategisk risiko

Operasjonell risiko

Renommérisiko

Juridisk risiko og kontraktrisiko

Finansiell risiko

Informasjonsrisiko

Nye risikoer

Styret og toppledelsen bør vurdere en rekke spørsmål når de identifiserer og vurderer risikoer:

Strategisk risiko

  • Er de kritiske strategiene tilstrekkelige til at organisasjonen kan nå sine mål?
  • Hvilke risikoer medfører strategien, og hvordan kan organisasjonen identifisere, kvantifisere og styre risikoene?
  • Hvor mye risiko er organisasjonen villig til å ta?
  • Hvilke risikoer oppstår som følge av utvikling av e-business?

Operasjonell risiko

  • Hvilke risikoer er det i prosessene som er viktig for å gjennomføre strategien?
  • Hvordan identifiserer, kvantifiserer og styrer organisasjonen slike risikoer i forhold til sin risikoappetitt? Hvordan endres disse aktivitetene når strategien og prosesser endres?

Renommérisiko

  • Hvilke risikoer for brand og renommé medfører organisasjonens måte å gjennomføre strategien på?

Juridisk risiko og kontraktrisiko

  • Hvilke risikoer er relatert til etterlevelse av lover og kontraktmessige forpliktelser -- ikke kun de som er knyttet til finansielle forhold?

Finansiell risiko

  • Medfører organisasjonens aktiviteter en uakseptable risiko i forhold til de finansielle ressursene?
  • Har organisasjonen pådratt seg uforholdsmessige forpliktelser for å gjennomføre strategien?
  • Har organisasjonen lyktes i å oppnå fastsatte, målbare mål?

Informasjonsrisiko

  • Er kunnskapen vår, dataene våre og informasjonen vår relevant og tilgjengelig til riktig tid?
  • Er informasjonssystemene pålitelige?
  • Er det samsvar mellom sikkerhetssystemene våre og e-business-satsingen vår?

Nye risikoer

  • Hvilke nye risikoer kan oppstå? (Dette kan inkludere nye konkurrenter eller forretningsmodeller, konjunkturnedgang, relasjonsrisikoer mv.)

Det er vanlig å plotte risikoer i en matrise som er inndelt i kategorier. På den måten kan ledelsen vurdere hvordan de enkelte risikoer samsvarer med den risikoappetitten som er definert. Det finnes en rekke verktøy som gir et strukturert rammeverk for å identifisere og vurdere risikoer. De kan også brukes til å identifisere «risikoeiere» (de som organisasjonen tilordner ansvar og myndighet for å styre konkrete risikoer).

  • Verktøy for å kategorisere risikoen hjelper organisasjonen med å prioritere risikoer innenfor et forretningsområde eller en enhet i organisasjonen. Slike verktøy hjelper også ledelsen med å sikre at de har fått tak i alle kategorier av risikoer som organisasjonen står ovenfor, ikke bare de tradisjonelle som ofte kun fokuserer på negative finansielle hendelser.
  • Verktøy som kvantifiserer finansielle data, blir brukt for å forstå den mulige konsekvensen av risikoer. En rekke sofistikerte modeller er tilgjengelig for å evaluere risikoer innenfor finansielle forhold. Disse modellene, som for eksempel value-at-risk, har vanligvis blitt benyttet innenfor finansinstitusjoner hvor blant annet kreditt- og markedsrisikoer i stor grad er kvantifiserbare. I tillegg har mange organisasjoner beregnet risikojustert avkastning av eiendeler eller egenkapital for bedre å kunne styre og balansere forskjeller mellom ulike divisjoner eller produktlinjer. Hvordan man kan og bør modellere andre kategorier av risikoer, er ikke like godt forstått og praktisert, selv om noen virksomheter har gjort forsøk på også dette.

Når risikoene er vurdert og kategorisert på en systematisk måte og man har forsøkt å forstå konsekvensen av disse, ønsker ledelsen å beslutte hvilke risikoer som bør håndteres på overordnet nivå i organisasjonen, og hvilke som bør «dyttes» lenger ned i organisasjonen.

Virksomheters oppfølging av risk management kan enten sentraliseres til konsern- eller selskapsnivå eller desentraliseres til divisjons- eller prosessnivå. Valget avhenger både av hvilken type risikoer som er aktuelle, og av virksomhetskulturen. Det kan vanskelig sies å være noen riktig eller gal tilnærming i denne sammenhengen, men utviklingen går i følgende retning:

  • Sentralisert risk management tenderer mot fokus på risikoer som påvirker oppnåelsen av viktige mål og strategier for virksomheten, og som påvirker de fleste, om ikke alle, funksjoner og prosesser i virksomheten. Slike risikoer kalles ofte enterprise-wide risks. Ansvaret for oppfølgingen av slike risikoer er ofte tillagt administrerende direktør og/eller styret. Andre risikoer som følges opp fra sentralt hold, kan være risikoer som krever spesiell kunnskap som ikke kan dupliseres på divisjonsnivå, eller som trenger avtaleinngåelse på konsern- eller selskapsnivå.
  • Desentralisert risk management skyver ansvaret for risk management over til dem som lever med risikoen fra dag til dag. De risikoene som best kan håndteres på denne måten, er risikoer som spesifikt er knyttet til divisjoner eller prosesser. Dette vil være risikoer som er betydelige kun innenfor en bestemt prosess, men som likevel vil kunne påvirke organisasjonens samlede evne til å nå sine mål. Uavhengig av om risikoer håndteres sentralisert, desentralisert eller som en kombinasjon av disse, er det blitt en trend å tilordne ansvaret for ERM på én plass i organisasjonen og utnevne en chief risk officer (CRO). Han/hun er ansvarlig for å utvikle og styre virksomhetens samlede risk management-strategi.

Så langt er erfaringen at mange ledere mener at ERM er viktig, og at det gir dem muligheten til skaffe seg en konkurransefordel. Men mange virksomheter har i liten grad vært i stand til å bruke informasjon om risiko til å iverksette tiltak som øker verdiskapingen. Mange har lært mye av den informasjonen de har samlet inn, men de leter etter nye metoder å bruke den på. I neste avsnitt er det beskrevet en ny modell for implementering av ERM for å kunne oppnå den økte verdiskapingen som ledere søker.

MODELL FOR Å SKAPE VERDIER FRA RISK MANAGEMENT

Både private og offentlige organisasjoner bruker flere ulike metoder for å vurdere og måle risikoeksponering, men mange av dem er ikke i stand til å peke på hvilken verdiskaping det bidrar til. De nye modellene for risk management integrerer dette med øvrig styring av virksomheten. De er bygd opp for å kunne måle den verdiskapingen risk management bidrar med. Virksomhetsledere kan selv delta i utviklingen av ERM ved å øke bruken av ulike verktøy og konsepter for styring av risikoer i forhold til i dag.

Fra

Til

Risikoer som individuelle hendelser

Risikoer i sammenheng med forretningsstrategier

Risikoidentifisering og -vurdering

Utvikling av «risikoportefølje»

Fokus på alle risikoer

Fokus på kritiske risikoer

Risikobegrensning

Risikooptimalisering

Risikogrenser

Risikostrategi

Risikoer uten eiere

Klart definert ansvar for risikostyring

Tilfeldig risikokvantifisering

Overvåking og måling av risiko

Risiko er ikke mitt ansvar

Risiko er alles ansvar

Fra

Til

Risikoer som individuelle hendelser

Risikoer i sammenheng med forretningsstrategier

Risikoidentifisering og -vurdering

Utvikling av «risikoportefølje»

Fokus på alle risikoer

Fokus på kritiske risikoer

Risikobegrensning

Risikooptimalisering

Risikogrenser

Risikostrategi

Risikoer uten eiere

Klart definert ansvar for risikostyring

Tilfeldig risikokvantifisering

Overvåking og måling av risiko

Risiko er ikke mitt ansvar

Risiko er alles ansvar

KNYTTE ERM TIL FORRETNINGSSTRATEGIEN

Tidligere modeller for risk management betraktet risiko som noe som skulle bli forstått og analysert for sin egen skyld. De nye modellene knytter ERM til virksomhetens strategi. Dette inkluderer virksomhetens visjon, mål og prosess for å fastsette operative mål og planer.

For å kunne gjennomføre ERM på en mest mulig effektiv måte, er det en forutsetning at det knyttes til virksomhetens strategi. Da oppnår en i tillegg at ERM fokuserer på forhold som er viktig for virksomhetens ønske om utvikling, ikke bare på hvor den befinner seg i dag. Forskjellen på denne typen ERM og en tradisjonell innfallsvinkel kan være kritisk for organisasjoner som i stadig økende tempo endrer sine forretningsmodeller og strategier på grunn av blant annet utviklingen av e- og m-business og endrede forventninger fra kundene.

Under utviklingen av en moderne ERM-prosess kan virksomheten oppdage at den er usikker på hva som er dens egentlige risikoappetitt. Ved å utvikle ulike målinger for å kunne vurdere hvilket omfang av risiko organisasjonen ønsker å ta, kan ledelsen skaffe seg et grunnlag for å tilpasse sin risikoappetitt. En tilknytning av ERM til virksomhetens strategi vil også kunne sette risikostyring inn i en slik sammenheng at den ser virksomheten i et langsiktig perspektiv. Dersom risikoappetitt i stedet fastsettes på et tilfeldig grunnlag, kan lederne ta beslutninger som tolererer mer eller mindre risiko enn det strategien fastsetter som det ideelle. De nye ERM-modellene ivaretar dette på en god måte.

BRUK AV RISIKOPORTEFØLJE

En systematisk prosess for risikovurdering har vist seg å være en svært effektiv måte for å identifisere, kategorisere og vurdere risikoer basert på sannsynlighet og konsekvens. Denne prosessen reiser likevel en kritisk problemstilling: Hva skal man gjøre med den informasjonen risikovurderingen avleder? I noen tilfeller finner ledelsen ut at prosessen har identifisert så mange risikoer at de umulig kan arbeide videre med alle. I andre tilfeller lykkes man ikke med å konkludere med hvilke tiltak som bør iverksettes (i lys av risikoappetitten) på en slik måte at verdiskapingen øker. De nye ERM-modellene løser disse problemstillingene på en mye bedre måte enn tidligere ved å etablere en portefølje av risikoene. Konseptet med risikoportefølje bygger på at ulike risikoer deler ulike karakteristika og/eller er innbyrdes avhengige av hverandre.

Risikoer vurderes innenfor grupper basert på hvordan de påvirker hverandre. Innenfor disse gruppene kan en eller flere risikoer øke eller bli redusert når andre risikoer endres. I tillegg kan tiltak mot en risiko medføre at nye risikoer oppstår. Ved å forstå og kartlegge slik påvirkning mellom risikoer på en systematisk og enhetlig måte i organisasjonen kan ledere få inndelt risikoer i kategorier, som igjen vil påvirke hvordan man skal styre risikoen og optimalisere sammensetningen av dem.

Et annet viktig moment ved risikoporteføljekonseptet er at det tar hensyn til virksomhetens organisasjonsmessige begrensninger. Tid og tilgang på ressurser gjør at ledelsen kun kan fokusere på et begrenset antall risikoer. Evaluering av risikoer i porteføljer gjør lederne i stand til å ha en oppfatning av konsekvenser av disse og påvirkning mellom ulike risikoer. På den bakgrunn kan de fokusere på de risikoene som er mest kritiske, og på de som krever mest fokus fra ledelsen. Effekten av dette er bedre utnyttelse av både ledelsesressurser og operative ressurser i virksomheten.

OPTIMALISERING AV RISIKOER

På dette stadiet i ERM-prosessen har virksomheten forstått konsekvensene av sin egen strategi, identifisert risikoer knyttet til strategien, definert sammenhengen mellom risikoer innenfor en risikoportefølje og gjort en foreløpig vurdering av hvilke risikoer som fordrer størst oppmerksomhet fra ledelsen. Det neste trinnet er å optimalisere sammensetningen av risikoporteføljen.

Risikooptimalisering er en systematisk innarbeidelse av valgmuligheter. På samme måte som en investor justerer sammensetningen av sine investeringer basert på toleransen for risiko og avkastning, vil en leder med ansvar for en risikoportefølje velge mellom ulike taktikker for å styre risikoer basert på virksomhetens vilje og evne til å ta risiko. Disse valgene kan innebære økte kontroller eller andre tiltak for å begrense risikoer som går ut over aksepterte rammer. De kan også medføre reduserte kostnader og ressursbruk knyttet til områder som er «overkontrollerte». Et tredje alternativ er å øke risikoen på områder hvor styringen og kontrollen er så gode at virksomheten ønsker og tåler en økt risikoeksponering. Lederen må derfor kontinuerlig balansere kost og nytte av ulike tiltak med behovet for å optimalisere risikoeksponeringen i organisasjonen.

Ved å bruke varierte taktikker kan risk managere begynne å påvirke virksomhetens prestasjoner og verdiskaping. En viktig del av optimaliseringsprosessen er å sikre seg at grensene for risikotaking er forstått, og at virksomhetens samlede risikoappetitt er tilordnet de enkelte virksomhetsområdene. Dette er viktig for å unngå å styre etter rammer som overstiger det virksomheten samlet sett har fastsatt. Uten en slik forståelse vil en risk manager eller den personen som har det samlede ansvar for risk management i organisasjonen, kunne påvirke det hun eller han mener er et akseptabelt nivå på risikoeksponeringen.

Risikooptimalisering er en gjentakende og kontinuerlig prosess. Når én taktikk implementeres, må andre revurderes. Fordi det ikke er mulig å revurdere alle taktikker og tiltak som organisasjonen har iverksatt, er det nødvendig å finne frem til tiltak som er relatert til virksomhetens viktigste og mest betydningsfulle risikoer.

MÅLING OG OVERVÅKING FOR Å ØKE VERDISKAPINGEN

På dette stadiet i prosessen bør alle tiltak som er knyttet til ERM, påvirke organisasjonens prestasjon. Måling og overvåking av tiltakene blir nå viktig for å forstå og kunne rapportere status og betydning av risikoene. Mange organisasjoner finner frem til ulike måter å utføre måling og oppfølging på. Dette gjelder både på samlet virksomhetsnivå og på prosessnivå. En enkel overvåking kan innarbeides i organisasjonens øvrige styringssystemer. Ved å definere grenser for risikotaking i form av spesielle egenskaper eller mål kan sanntidsovervåking etableres. Dersom fastsatte grenser overskrides, kan tiltak raskt iverksettes, men det krever en gjennomtenkt vurdering av hvilke kvalitative og kvantitative parametre som beskriver risikoeksponeringen på en best mulig måte.

Andre måter å måle på er å benytte internrevisjon, kvalitetsrevisjon eller andre revisorer/rådgivere i tillegg til benchmarking mot konkurrenter. En måling av oppnådde resultater kan også være en form for overvåking. Det er viktig at virksomhetene definerer måling og oppfølging som i størst mulig grad samsvarer med øvrig ledelsesstil og kultur i virksomheten.

RISIKOSTRATEGI OG STRUKTUR

ERM blir komplett ved å ta med to forhold til. Det første errisikostrategi. På samme måte som forretningsstrategien viser veien for forretningsvirksomheten, gir risikostrategien retningen for risikoaktiviteter i organisasjonen. Den kan legge grunnlaget for et aggressivt eller konservativt risk management, den kan beskrive hvordan måling og oppfølging skal utføres, og den kan gi styret og toppledelsen det nødvendige fugleperspektivet. For å gjennomføre risikostrategien er virksomheten avhengig av enrisikostruktur. Stadig flere organisasjoner integrerer ERM i eksisterende styringsstrukturer. På den måten krever ikke ERM nødvendigvis en ny vurdering av styringsstrukturer som allerede er på plass, men heller en økning av effekten av disse ved at risk management samordnes med eksisterende strategier og planleggingsprosesser i virksomheten.

Gjennom risikostrukturen vil roller og ansvarsforhold bli avklart. På den måten vil ledere på ulike nivå få myndighet til å operere innenfor definerte risikogrenser basert på virksomhetens risikoappetitt. En effektiv integrering av dette i organisasjonen forutsetter at styret tar et eierforhold til ERM og synliggjør sitt engasjement. Det vil være nødvendig å gi styret innføring og opplæring i ERM og ikke minst vise løpende at ERM tilfører virksomheten økt verdiskaping. God kommunikasjon og informasjon om risikostrategien og -strukturen er avgjørende for å lykkes. Det er viktig at denne informasjonen utformes og fremføres med et språk og med konsepter som gjør at alle ansatte og ledere forstår styrets visjon og mål med ERM. Det er også viktig at ledere viser at ERM-strategien er relevant ved å formidle suksesshistorier. Fordeling av ansvar og myndighet innebærer at ledelsen må forsikre seg om at enkeltpersoner har de nødvendige kunnskaper og ferdigheter til å kunne gjennomføre risikostrategien på en effektiv måte. Hvilke kunnskaper og krav til nivå på disse hos enkeltpersoner det er snakk om, kan variere betydelig fra virksomhet til virksomhet.

Det er naturlig og effektivt å innarbeide ERM-kompetanse i all opplæring av virksomhetens ansatte. I stadig flere tilfeller ansetter organisasjoner en CRO, som er selve senteret i risikostrukturen. CRO er ansvarlig for å drive prosessen med implementering av ERM og finjustering basert på de resultatene som oppnås. Implementering av en slik ERM-modell i en virksomhet bør resultere i en risk management-prosess som systematisk og løpende fokuserer på risiko og utnyttelse av muligheter i hele organisasjonen.

Viktige aktiviteter for å innarbeide ERM i en organisasjon

Styreaktiviteter:

Ledelsesaktiviteter:

Etablere en felles risikokultur:

Etablere ansvar for risikoer:

Innarbeide risikostyringsaktiviteter i de ordinære forretningsprosessene:

Måling og overvåking av risikoer:

Viktige aktiviteter for å innarbeide ERM i en organisasjon

Styreaktiviteter:

  • Opplæring av styret i ERM
  • Etablere eierforhold i styret til risikoappetitt og risikostrategi
  • Etablere eierforhold i styret til oppfølging av risk management-aktiviteter
  • Gjennomgang av risikorapport for organisasjonen

Ledelsesaktiviteter:

  • Utarbeide en overordnet risikostrategi (policy) med organisasjonens strategi som utgangspunkt
  • Utarbeide en klar ledelsesstruktur for risk management, inkludert klare rapporteringslinjer
  • Avklare og tilordne ansvar for risk management-aktiviteter
  • Kommunisere styrets mål, strategi, ansvarsforhold og rapporteringslinjer til alle ansatte i organisasjonen

Etablere en felles risikokultur:

  • Bruke felles risikospråk og konsepter
  • Kommunisere omkring risiko ved å bruke relevante kanaler og relevant teknologi
  • Utvikle opplæringsprogrammer for ERM
  • Identifisere og lære opp «risikoambassadører»
  • Kommunisere suksesshistorier og identifisere muligheter for quick wins
  • Tilordne risk management-aktiviteter i samsvar med organisasjonskulturen
  • Utvikle et system for kunnskapsdeling

Etablere ansvar for risikoer:

  • Innarbeide risk management-aktiviteter / risk management-ansvar i jobb-beskrivelser
  • Innarbeide ERM-konsepter i personlige utviklingsplaner
  • Utstyre ledere med myndighet til å ta risiko innenfor definerte rammer

Innarbeide risikostyringsaktiviteter i de ordinære forretningsprosessene:

  • Samordne og innarbeide risk management-aktiviteter i de ordinære forretningsprosessene
  • Innarbeide sanntidskontroller som er relatert til risikoer i datasystemer der det er hensiktsmessig
  • Utvikle en prosess for kontinuerlig forbedring av risk management-prosessen

Måling og overvåking av risikoer:

  • Identifisere nøkkelindikatorer og kritiske suksessfaktorer relatert til risikoer
  • Etablere mål for suksess for risikostrategien og -aktiviteter
  • Etablere en periodisk prosess for måling av forholdet mellom risiko og avkastning
  • Identifisere og implementere prosesser og metoder for å gi feedback

KONSEKVENSER OG MULIGHETER

Hvorvidt ERM kan være en driver av endringsprosesser i en virksomhet, avhenger til sjuende og sist av om ERM er implementert som en integrert del av annen styring i virksomheten. Når risiko blir en del av styringen, kan ledelsen iverksette tiltak på en koordinert måte. Ved å bruke ERM til å optimalisere risikoeksponeringen kan ledelsen i større grad oppfatte behovet for endringer i organisering eller i strategiske valg. Det er avgjørende for å lykkes at ERM prosessen støttes aktivt av styret og toppledelsen. Men for enhver leder kan det virke skremmende å skulle implementere en fullstendig ERM-prosess i virksomheten på en gang. Det viktigste er å komme i gang. En god måte å komme i gang på er å velge ut pilotprosjekter. Det kan være en divisjon, en avdeling eller et større prosjekt som er viktig for organisasjonen. Sjekklisten nedenfor kan gi innspill til hvor din virksomhet bør begynne.

En strategisk sjekkliste for toppledere

Toppledere i private og offentlige organisasjoner bør stille seg selv en rekke spørsmål for å finne ut om de bruker prinsippene i ERM på en effektiv måte, slik at de kan optimalisere risikoene sine:

En strategisk sjekkliste for toppledere

Toppledere i private og offentlige organisasjoner bør stille seg selv en rekke spørsmål for å finne ut om de bruker prinsippene i ERM på en effektiv måte, slik at de kan optimalisere risikoene sine:

  • Vet jeg hvilke risikoer vi har tatt?
  • Har jeg vurdert eksponeringen overfor ikke tradisjonelle risikoer?
  • Skjønner jeg sammenhengen mellom de ulike risikoene?
  • Vet jeg hva vår risikoappetitt er?
  • Vet jeg hvem som har ansvaret for de enkelte risikoene? Har vi systemer på plass for å måle og overvåke risikoene?
  • Hvilket perspektiv har den personen/avdelingen som overvåker risikoeksponeringen?
  • Har vi systemer som gjør det mulig å foreta optimalisering av risikoer?
  • Ser vi regelmessig etter nye markeder, alliansemuligheter eller andre strategier for risikooptimalisering?
  • Hvordan påvirker våre belønningssystemer risk management?
  • Er vår forståelse av risiko gjennomgående i hele organisasjonen og i vår kultur?
  • Forstår hver enkelt ansatt sin rolle og sitt ansvar for å styre risiko?
  • Blir vurdering av risiko prioritert når forretningsprosesser skal forbedres?

KONKLUSJON


© Econas Informasjonsservice AS, Rosenkrantz' gate 22 Postboks 1869 Vika N-0124 OSLO
E-post: post@econa.no.  Telefon: 22 82 80 00.  Org. nr 937 747 187. ISSN 1500-0788.

RSS