Magma topp logo Til forsiden Econa

Enterprise Risk Management i Statoil

figur-authorfigur-authorfigur-author

– en balansegang mellom evolusjonære og revolusjonære faser

Sammendrag

Enterprise risk management (ERM) er et område som har vokst frem som en mer helhetlig løsning på hvordan virksomheter kan styre risiko. Vi spør oss hva som er driverne for utviklingen av en ERM-praksis i en organisasjon over tid, og hva som kan forklare integrering av ERM i beslutningsprosesser. Med hjelp av en casestudie i Statoil viser vi hvordan ERM er utviklet i tre ulike faser. Casen viser at ytre press fører til revolusjonære endringer ved at det settes i gang arbeid for å etablere en ny praksis som avviker betydelig fra den eksisterende måten å arbeide på. Når den første revolusjonære fasen er over, går det over til en mer evolusjonær fase der indre drivere er med på å påvirke utviklingen. Mange aktører påvirker utviklingen av praksis gjennom sitt politiske, tekniske og kulturelle arbeid for å fremme egne synspunkter. Hvor godt aktørene lykkes med sitt arbeid, vil avgjøre i hvilken grad ERM blir integrert i beslutningsprosesser. Dette er med på å forklare hvorfor ERM-praksisen er ulik fra selskap til selskap til tross for at de står overfor de samme ytre pressene, og at det kreves politisk, teknisk og kulturell kompetanse for å få ERM til å bli noe mer enn bare etterlevelse av lover og regler.

Introduksjon

Enterprise risk management (ERM) er et område som har vokst frem som en mer helhetlig løsning på hvordan virksomheter kan styre risiko. Det gir rom for klare endringer i ledelse og styring av selskaper for å redusere risiko, men også for å våge å ta risiko. ERM er imidlertid ikke et avgrenset teoretisk eller praktisk fenomen, men en samlebetegnelse for et system av konsepter som skal gi veiledning i hvordan bedriften helhetlig kan håndtere risiko relatert til de overordnete målsettingene i selskapet. ERM er dermed mer enn bare en teknisk-analytisk praksis.

Fra litteraturen om risikostyring kan vi se at ERM-praksisen er forskjellig mellom organisasjoner, men også i samme organisasjon over tid (Arena mfl. 2010). Det har vist seg vanskelig å implementere ERM og få beslutningstakerne til å bruke denne informasjonen som en integrert del i beslutningsprosessene (Arena mfl. 2010, Vinnari og Skærbæk 2014, Woods 2011). Videre er Power (2009) bekymret for at ERM ikke blir integrert i styringen av en virksomhet, men snarere kun er en praksis for etterlevelse av lover og regler. Vi vet fortsatt lite om hva som er driverne til at ERM-praksisen blir ulik mellom selskaper, og hvordan helhetlig risikostyring kan bli integrert i beslutningsprosesser.

For å forstå hva som driver utviklingen av en ERM-praksis, og hvordan aktører i organisasjonen tar til seg denne endringen i praksis, vil vi teoretisk presentere to typer endring: evolusjonær, som foregår i små skritt, og revolusjonær, som betyr at endringen foregår i trappetrinn (Burns og Scapens 2000). For ytterligere å forstå driverne bak den evolusjonære utviklingen vil vi i tillegg benytte Perkmann og Spicers (2008) rammeverk, som forklarer institusjonelle endringer som et resultat av aktørers politiske, tekniske og kulturelle arbeid. Det vil være nyttig når vi skal beskrive hvordan utviklingen av en ERM-praksis har foregått i et caseselskap.

Vi spør oss derfor i denne artikkelen om hva som er driverne for utviklingen av en ERM-praksis i en organisasjon over tid, og hva som kan forklare integrering av ERM i beslutningsprosesser.

I artikkelen analyserer vi hvordan eksterne og interne drivere har bidratt til utviklingen av ERM-praksisen i Statoil over tid. Statoil er et selskap som har kommet langt i utviklingen av ERM, og det er derfor spesielt spennende å beskrive og analysere de ulike fasene selskapet har gått igjennom for å få en god helhetlig styring av risiko. Prosjektet inngår som del av forskningsprogrammet Beyond Budgeting, der vi ser på dynamisk styring av virksomheter.

To forskere ved NHH har studert utviklingen av ERM-praksisen i Statoil gjennom intervjuer, deltagelse på ulike interne møter der ERM har vært diskutert, samt gjennom innsamling av sekundærdata. Videre har leder for ERM-enheten i Statoil bidratt med å utdype den empiriske og analytiske delen av artikkelen.

Teoretisk kan dette bidra til en bedre forståelse av hvordan nye rutiner blir institusjonalisert i en organisasjon. I tillegg bidrar artikkelen til å vise hvordan en ERM-praksis har blitt innført i en kompleks organisasjon, og hvilke utfordringer de har blitt konfrontert med. Dette kan hjelpe andre selskaper som ønsker å innføre ERM eller lignede praksiser.

I neste del redegjør vi for sentrale begreper og beskriver det teoretiske rammeverket vi bruker. Deretter kommer en kort metodebeskrivelse før casen beskrives og analyseres, og til slutt følger vår konklusjon og implikasjoner.

Enterprise Risk Management

ERM er ikke én enkelt ting, verken konseptuelt eller praktisk. ERM kan sies å være et system av konsepter som har vokst i betydning siden midten av 90-tallet (Power 2009). ERM betegner et skifte i hvordan risiko styres, fra en silobasert tilnærming til en mer helhetlig styring. Det finnes utallige rammeverk som utdyper begrepet ERM, der COSO (2004) sin versjon er en av de mest velkjente globalt (Power 2009). COSO (2004) definerer ERM som følger:

Helhetlig risikostyring er en prosess, gjennomført av virksomhetens styre, ledelse og ansatte, anvendt i fastsettelse av strategi og på tvers av virksomheten, utformet for å identifisere potensielle hendelser som kan påvirke virksomheten, og for å håndtere risiko slik at den er i samsvar med virksomhetens risikoappetitt, for å gi rimelig grad av sikkerhet for virksomhetens måloppnåelse.

Enkelte forskere mener at innføringen av ERM er en av de største organisasjonsendringer vi har sett det siste tiåret (Hayne og Free 2014, Mikes 2009, Power 2007). Internasjonalt har selskaper innført helhetlig risikostyring, blant annet som følge av ny regulering som forsøker å gjøre eierstyring og selskapsledelse, internkontroll og risikostyring mer effektiv (f.eks. Sarbanes-Oxley-loven, retningslinjer for eierstyring og selskapsledelse, Basel-regelverket). Med dette som bakteppe kunne vi bli ledet til å tro at ERM er det samme i alle organisasjoner.

Imidlertid viser tidligere forskning at ERM er ulikt mellom organisasjoner, men også innen samme organisasjon over tid (Arena mfl. 2010). Flere studier viser at det har vært vanskelig å implementere ERM og få risikostyringen integrert i beslutningsprosesser i selskap, da det ofte blir en sjekkliste-øvelse for å etterleve lover og regler (Arena mfl. 2010, Vinnari og Skærbæk 2014, Woods 2011). Det er faktisk få studier som viser hvordan ERM-praksisen blir integrert i beslutningsprosessene (Arena mfl. 2010, Mikes 2009, 2011, Woods 2011). Power (2009) er bekymret for den sterke innflytelsen revisjonsnormer har hatt på hvordan ERM innføres. Han frykter at det har ført til at ERM kun blir en øvelse i å etterleve lover og regler, i stedet for faktisk å påvirke beslutningsprosesser. Vi vet fortsatt lite om hva som påvirker hvordan ERM-praksisen utvikles internt i et selskap over tid, og hvordan ERM kan bli integrert i beslutningsprosesser, noe det etterlyses mere forskning om (Arena mfl. 2010, Mikes 2009, 2011, Soin og Collier 2013, Vinnari og Skærbæk 2014, Woods 2009).

Teoretisk rammeverk

Det teoretiske rammeverket har sine røtter i ny-institusjonell teori (se Meyer og Rowan 1977, DiMaggio og Powell 1983). Teorien belyser hvordan handling i organisasjoner følger både formelle og uformelle regler, påvirkning fra omgivelsene og det som kulturelt blir tatt for gitt, snarere enn å agere fullstendig rasjonelt (Scott 1995). Teorien hjelper oss med å forstå hvordan organisasjoner endres, og hvordan de suksessivt blir stabile enheter.

I denne artikkelen er vi interessert i å analysere utviklingen av ERM i Statoil. For å gjøre det bruker vi et rammeverk utviklet av Burns og Scapens (2000). De skiller mellom revolusjonær og evolusjonær endring i styringssystemet. Antagelsen i deres typologi er at styringssystem og praksis utgjør stabile regler og rutiner i organisasjoner, og at likheten mellom det eksisterende og det nye styringssystemet vil avgjøre både formen på endringen og hvordan den vil få gjennomslag i praksis. I denne studien er vi interessert i hvordan ERM-praksisen utvikles, og hvilken ERM-informasjon som blir tatt med i beslutninger.

En revolusjonær endring innebærer radikale endringer i eksisterende rutiner og utfordrer derfor eksisterende rutiner og eksisterende institusjoner. Med institusjon menes her en tanke eller handling som er den dominerende, og som tas for gitt i en gruppe (Burns og Scapens 2000). En revolusjonær endring skjer oftest gjennom et eksternt press for endring. Det kan for eksempel være et nytt lovverk eller en konkurransesituasjon som tvinger organisasjonen til å endre det som tidligere har vært tatt for gitt. Til tross for at det er en revolusjonær endring, så endres ikke alt. Endringen er gjerne stiavhengig, det vil si at endringen må ta hensyn til hvordan man gjorde det tidligere, på grunn av strukturelle faktorer.

En evolusjonær endring innebærer små endringer som skjer i overensstemmelse med eksisterende rutiner og institusjoner. Driverne bak en evolusjonær endring kommer fra det indre liv i organisasjonen. Den evolusjonære prosessen er imidlertid ikke en darwinistisk prosess hvor det beste styringssystemet overlever. Det er snarere slik at endringsprosesser formes ved en kombinasjon av krefter som er både tilfeldige og systematiske. De eksisterende institusjonene bidrar til å skape en treghet som den evolusjonære prosessen suksessivt endrer.

Revolusjonære endringer har tidligere vært forklart gjennom ytre sjokk (Hoffmann 1999) eller gjennom heltemodig innsats fra én institusjonell entrepreneur (DiMaggio 1988). Det er først de senere årene at en har forsøkt å forklare institusjonelle endringer som et resultat av mange aktørers arbeid med å få til endring (Lawrence og Suddaby 2006). I tråd med denne tenkningen har Perkmann og Spicer (2008) forklart institusjonelle endringer i form av aktørers politiske, tekniske og kulturelle arbeid. Med politisk arbeid menes hva aktørene gjør for å få støtte for sitt syn, og hvordan de etablerer regler og grenser for å få gjennomslag. Teknisk arbeid handler om å skape abstrakte modeller som kan forklare hvordan den nye praksisen skal fungere, mens kulturelt arbeid er mer knyttet til hvordan aktører får andre til å like den nye praksisen.

Hvis andre skal lære av en endringsprosess, er det viktig å forstå hva som er driverne bak endringene. Det går ikke å ta en blåkopi og tro at det nye systemet skal fungere like bra i ens egen organisasjon. Det er derfor viktig å gjøre analysen ut fra disse perspektivene for å lære av casen.

Forskningsdesign og metode

Studien har vært gjennomført basert på en kvalitativ forskningsdesign, for å få bedre forståelse for hva som driver utviklingen av en ERM-praksis internt i et selskap. Statoil ble valgt som case da det har en lang historie for å utvikle risikostyring, har ressurser og en størrelse som gjør det mulig å utvikle ledende praksis, samt at to forskere ble gitt god tilgang til å studere ERM-praksisen gjennom intervjuer, deltagelse på møter samt tilgang til sekundærdata. I alt ble 38 personer intervjuet over en toårsperiode fra april 2013. Personene som ble intervjuet, hadde enten vært med på å utvikle ERM eller var brukere av ERM. Dataene har av to forskere vært analysert, basert på en åpen, tematisk koding, og resultatene har vært diskutert med leder for ERM i Statoil.

Utviklingen av ERM i Statoil

ERM-praksisen i Statoil er gradvis utviklet over en 18 års periode. Hver av de tre fasene starter med en revolusjonær endring av tidligere praksis etter ytre press, for deretter gradvis å gå over til en mer evolusjonær endring basert på indre drivkrefter. Den interne endringen er i stor grad en følge av ulike aktørers arbeid for å utvikle ERM-praksisen i selskapet, mens den eksterne pressen er basert på ulike institusjonelle endringer. For å beskrive denne utviklingen har vi delt perioden inn i tre hovedfaser, som illustrert i figur 1.

figur

Figur 1 Tre hovedfaser i utviklingen av ERM-praksis i Statoil.

Fase 1 – Grunnlaget for ERM legges

Grunnlaget for det som skulle bli ERM i Statoil, startet i to ulike miljøer i selskapet. Den ene byggesteinen kom fra miljøet som utviklet den finansielle risikostyringen, mens den andre byggesteinen kom fra internrevisjonens praksis. I det følgende beskrives hovedelementene i hver av byggesteinene med fokus på det som kan forklare grunnlaget som ERM-praksisen i Statoil ble bygget på.

Utvikling av den finansielle risikostyringen

I 1996 ble et risikoprosjekt initiert av CEO for å optimalisere den finansielle risikostyringen i hele selskapet, under ledelse av en finanskontroller med 20 års erfaring fra banksektoren. Finanskontrolleren kom fra en bransje som gjennom en årrekke hadde optimalisert den finansielle risikostyringen som følge regulatoriske krav (Basel I, 1988) og utviklingen av nye metoder og verktøy for å styre risiko. Basert på en risiko og avkastning-logikk utarbeidet risikoprosjektet fire hovedprinsipper for risikostyring. For det første hadde risiko både en oppside og en nedside. For det andre handlet risikostyring om å tenke helhetlig. Risikostyring skulle støtte opp under de overordnede målene for Statoil, som var å skape verdier og unngå ulykker. For det tredje skulle risikostyringen bidra til verdiskaping for selskapet, det skulle ikke bli enda en kontroller-enhet som skulle overvåke risiko og sjekke etterlevelse. Det fjerde og siste prinsippet var å kvantifisere risiko så langt som mulig i monetære termer, slik at alle involverte fikk et felles språk for hva som utgjør en risiko.

I samarbeid med Goldman Sachs utviklet risikoprosjektet metode og verktøy for å beregne markedsrisikoen for Statoil på konsernnivå. Da markedsrisikomodellen stod ferdig i 1999 og en kunne beregne den totale markedsrisikoen for Statoil, ble beløpene så store at ingen enkelt leder hadde mandater til å ta beslutninger. Det ble derfor etablert en Market Risk Committee (MRC), et rådgivende organ med erfarne ledere fra finans, handel og revisjon samt kontrollere fra forretningsområdene under ledelse av CFO. For å kalkulere markedsrisikoene og sette agendaen for de månedlige MRC-møtene ble en ny Corporate Risk-funksjon (CR-funksjonen) etablert. MRC ble i 2002 omdøpt til Corporate Risk Committe (CRC), der fokuset ble utvidet til å se på helhetlig risiko for selskapet.

CR-funksjonens risikoagenda ble gradvis utvidet etter hvert som de opparbeidet seg kompetanse og legitimitet innen risiko spørsmål. Dette omfattet blant annet utarbeidelse av en ny kvantitativ metode og verktøy for å beregne landrisiko, bistand i strategiprosessen med kvantifisering av ulike strategiske scenarier, videreutvikling og implementering av Value at Risk i konsernet samt at CR-funksjonen var involvert i arbeidet med en større analyse som skisserte mulige katastrofescenarioer for Statoil som kunne ha betydning for bunnlinjen i selskapet. Eksemplene viser hvordan CR-funksjonen gradvis utvidet risikoagendaen til nye områder. Det innebar at de ulike enhetene fikk inn en vurdering av markeds- og landrisiko i sine beslutninger.

Internrevisjonen og risiko-workshoper

En annen viktig byggestein for det som skulle bli ERM, var arbeidet internrevisjonen gjorde med risikokartlegging. Etter en presentasjon fra Ernst & Young om tenkningen rundt ERM startet i 2001 internrevisjonen med å gjennomføre risiko-workshoper i operative enheter i selskapet. Internrevisorer utfordret ledelsen i operative enheter med å tenke risiko og hva som kunne gå galt i virksomheten. Fokuset var rettet mot nedsiderisikoer samt hvor god kontroll ledelsen opplevde de hadde for å håndtere disse risikoene. Det ble laget en liste med risikopåstander som ledelsen stemte på ved bruk av mentometerknapper for å uttrykke hvilke risikoer som var størst, og hvordan de mente de ble håndtert. Internrevisjonen gjennomførte slike risiko-workshoper frem til 2006, som innspill til sin revisjonsplan, noe som ble forløperen til en mer helhetlig kartlegging av risiko i selskapet. Dette var med på å få risikostyringen inn i beslutningene.

Oppsummert viser den første fasen at ERM har sitt utspring i to ulike områder i selskapet, med to ulike logikker. Det første området var utviklingen av en helhetlig finansiell risikostyring med vekt på risiko og avkastning-tankegang. Innenfor denne logikken var risikostyring å tenke helhetlig, risiko hadde både opp- og nedside, skulle bidra til verdiskaping i selskapet samt uttrykkes kvantitativt i pengeverdier så langt det var mulig. Det andre området var internrevisjonens kartlegging av risiko i operasjonelle enheter, der en gjennom workshoper fikk ledergruppens vurdering av hva som kunne gå galt, samt hvor gode kontrollmekanismer de mente å ha på plass for å håndtere risikoene. Denne logikken følger en revisjonslogikk med en risikokontroll-tankegang.

Fase 2 – Implementering av SOX

I kjølvannet av Enron-skandalen ble Sarbanes-Oxley–loven (SOX) vedtatt av kongressen i USA i 2002. Statoil, som ble børsnotert på amerikansk børs i 2001, fikk som utenlandsk selskap krav om etterlevelse fra og med 2006. Innføringen av SOX medførte betydelige krav til intern kontroll med hensyn til den finansielle rapporteringen, der ledelsen eksplisitt måtte ta ansvar for balanse og resultatregnskap, noe som igjen skulle bekreftes av ekstern revisor.

Et betydelig prosjekt ble nedsatt for å implementere SOX i selskapet, og prosesser, risikoer og internkontroll ble kartlagt, for å etterleve de amerikanske lovkravene. I tråd med tanker om styring, risiko og kontroll inntok SOX-prosjektet etter hvert en posisjon der den tilnærmingen de hadde til risikostyring, var den som burde være den overordnete måten å styre risiko på i selskapet. Med Enron friskt i minne ble det videre argumentert for at risikoen for feil i den finansielle rapporteringen var så vesentlig at den i ytterste konsekvens kunne velte hele selskapet. Ut fra en helhetstenkning delte imidlertid ikke CR-funksjonen dette synet og argumenterte for at risikoen for Statoil ikke var beløpet på den finansielle rapporteringsfeilen, men kun konsekvensene på kontantstrømmen av en rapporteringsfeil i form av bøter og eventuelt tap av omdømme.

Oppsummert forteller denne delen av historien mest om hva ERM i Statoil ikke ble. Til tross for eksternt press og internt søkelys på en logikk for styring, risiko og kontroll valgte Statoil å legge ansvaret for videre utvikling av ERM til CR-funksjonen, som fulgte en risiko og avkastning-logikk.

Fase 3 – ERM-praksisen utvikles

ERM ble etter hvert et mer og mer utbredt begrep både nasjonalt og internasjonalt. Eksempelvis publiserte COSO i 2004 sitt ERM rammeverk, Helhetlig risikostyring – et integrert rammeverk (COSO 2004), mens ISO i 2009 kom med et mer generelt rammeverk om risikostyring (ISO3100). For selskaper registrert på Oslo Børs ble det i 2006 krav om å følge Norsk anbefaling til eierstyring og selskapsledelse, som medførte krav om risikostyring og internkontroll der det henvises til COSO som eksempel på rammeverk.

ERM-tenkningen fikk innpass i Statoil, som for alvor begynte å utvikle en helhetlig tilnærming til risikostyring fra 2005. Statoil valgte å utvikle sitt eget rammeverk for ERM og bruke eksterne rammeverk til inspirasjon. I det følgende har vi valgt å beskrive enkelte sider som kan illustrere utviklingen av ERM-praksisen i Statoil. Dette omfatter 1) helhetlige risikokart, 2) helhetlig risikorapportering, 3) risikoverktøy og 4) ERM-prinsipper.

Helhetlige risikokart

CR-funksjonen startet i 2005 arbeidet med å utvikle en mer helhetlig tilnærming til risikostyring i selskapet. Først ble et risikoregister for selskapet utarbeidet, som inneholdt risikokategorier, opp- og nedsiderisikoer og konsekvenser for forretningsområdene, som illustrert i figur 2a).

figur

Figur 2 Utviklingen av helhetlige risikokart i Statoil over tid.

Imidlertid ønsket CR-funksjonen en mer kvantitativ tilnærming for å vurdere risikoene, og gikk i dialog med internrevisjonen for å lære av deres erfaringer med risiko-workshoper og bruk av stemmeverktøy. Fra 2006 ble det gjennomført risiko-workshoper med ledergruppene i forretningsområdene, og et helhetlig risikokart for selskapet ble utarbeidet som illustrert i figur 2b). CR-funksjonen var imidlertid ikke fornøyd med presisjonen i kvantifiseringen ved å bruke stemmeverktøy, og startet i 2007 gradvis å beregne enkelte risikoer direkte fra forretningsområdene. Figur 2c) illustrerer hvordan selskapets risikokart var i 2009, da risikoene ble beregnet direkte og en kunne ta i bruk en kontinuerlig pengeskala.

Gjennom fusjonen med Hydro Olje og Gass fikk CR-funksjonen tilført kompetanse om operasjonell risikostyring. Dette bidro til en videre utvikling av risikokartet, der en fikk inkludert vurderinger av HMS-risikoer etter en forhåndsdefinert alvorlighetsskala fra 1–8 (se figur 2d). Denne tilnærmingen med kvalitativ vurdering av risikoene var også egnet for andre områder som det var vanskelig å kvantifisere i penger, og ble ytterligere utvidet til også å omfatte korrupsjon, misligheter samt brudd på konkurranselovgivningen (se figur 2e).

Helhetlig risikorapportering, roller og ansvar

CR-funksjonen var anerkjent for sin risikokompetanse og fikk oppgaven med å utvikle ERM i selskapet. På grunn av innstramming i reglene for internrevisors uavhengighet (Institute of Internal Auditors 2009) var en organisering av ERM under internrevisjonen ikke et alternativ. Til å begynne med gjennomførte CR-funksjonen årlige risiko-workshoper med ledergruppene i forretningsområdene, for deretter å presentere et oppsummert risikobilde for konsernledelsen. I 2009 ble det besluttet at helhetlige risikokart årlig skulle fremlegges for styret, og risikostyring ble tatt inn som et fast agendapunkt på CEO og CFO sine kvartalsvise gjennomganger med forretningsområdene Fra dette tidspunktet begynte bruken av risikokart å eskalere i selskapet, og forretningsområdene overtok gradvis ansvaret for å kartlegge og følge opp egen risiko. CR-funksjonens rolle i risikorapporteringen ble å konsolidere det totale risikokartet for selskapet samt støtte og utfordre forretningsområdene i deres arbeid med risikostyring. Fra og med 2013 ba styret i Statoil om å få risikostyring på agendaen tre ganger i året, noe som viste den økende interessen for og søkelyset på risikostyring.

Risikostyringsverktøy

I mangel av eksternt tilgjengelige verktøy som illustrerte både opp- og nedsiderisiko, utviklet CR-funksjonen et eget verktøy (STIR) som støttet Statoils ERM-prinsipper. STIR ble gjort tilgjengelig for alle via nedlasting fra intranett. Det ble innført krav om å benytte formatet i STIR når risikokart skulle presenteres for konsernledelsen og ledelsen i forretningsområdene. Imidlertid kunne man på lavere nivå benytte andre risikokart og -verktøy, noe som førte til at det ble benyttet ulike varianter på lavere nivå i selskapet.

ERM-prinsipper

CR-funksjonen ble i 2007 eier av risikostyringsprosessen i selskapet og utarbeidet prosessbeskrivelse og funksjonelle krav for risikostyring. I tillegg til de fire grunnleggende prinsippene fra første fase har ytterligere ERM-prinsipper blitt konkretisert, noe som til tider har ført til diskusjoner internt mellom ulike fagmiljøer. Eksempelvis har det vært flere diskusjoner rundt hva som er en enterprise risk. Ett miljø mente at risikostyring handlet om å styre risiko ut fra målene i målstyringen, mens en annen gruppe mente det handlet om risikostyring av verdikjeden ut fra overordnete mål for selskapet. Sistnevnte tilnærming var den som ble valgt. Videre har det vært behov for å klargjøre forskjellen mellom en risikofaktor og en risiko, der en risikofaktor er en kilde som kan lede til en risiko, men den er ikke en risiko i seg selv. En pågående prinsippavklaring handler om tydeliggjøring av roller i organisasjonen og tilhørende risikostyring. For dette formålet er begrepet Task Risk Management (TRM) introdusert. Hovedpoenget er at ERM gjøres av de forretningsbaserte enhetene i selskapet og dette har prioritet over TRM som utføres av leveranse enhetene. Her vises det til en artikkel skrevet av Aven og Aven (2015) for mer detaljer.

Et annet prinsipielt tema har vært hvem som er ansvarlig for hvilken risiko. Styringsmodellen til Statoil baseres på entydige ansvarsforhold, noe som ble gjenspeilet i funksjonskravene for risikostyringen. Det er de forretningsbaserte enhetene som eier risikoene, mens de funksjonsbaserte enhetene har ansvar for å identifisere risikoer og rapportere til risikoeier.

Oppsummert viser denne delen av historien hvordan ytre press har medvirket til oppstarten av ERM, og hvordan ulike aktører har bidratt til en gradvis utvikling av ERM-rammeverket i Statoil. ERM-rammeverket følger ikke én standard, men er en blanding av egne prinsipper og inspirasjon fra flere internasjonale rammeverk for risikostyring. ERM-informasjon tas dermed med i beslutninger på en mye mer systematisk måte.

Diskusjon og konklusjon

I denne artikkelen ønsker vi å forstå hva som har drevet frem den ERM-praksisen man har i selskapet i dag, og hva som kan forklare integrering av ERM i beslutningsprosesser. Med utgangspunkt i Burns og Scapens (2000) rammeverk forsøker vi først å forstå hvordan ytre press kan forklare revolusjonære endringer, mens indre press leder til evolusjonære endringer i praksis. Deretter benytter vi rammeverket til Perkmann og Spicer (2008) for å gå nærmere inn på driverne bak de evolusjonære endringene. Tabell 1 oppsummerer vår analyse.

Tabell 1 Ytre og indre driver for revolusjonære og evolusjonære endringer.
Ytre drivereRevolusjonær endringIndre drivereEvolusjonær endring
PolitiskeTekniskeKulturelle
Fase 1Ideer fra finans-bransjenNy metode for å beregne og styre helhetlig markedsrisikoForankret hos toppledelsenNye risiko­funksjoner etableres; MRC- og CR-funksjonNye prinsipper, prosesser, verktøy, roller og ansvar utvikles for markedsrisiko og landrisikoRisikostyring presenteres som verdiskapende, og risiko tydeliggjøres i pengeverdierGradvis utvidelse av områder for finansiell risikostyring
Ideer fra revisjons-bransjenNy måte å kartlegge risiko på for beslutninger i operasjonelle enheterForankret hos toppledelsenNye prinsipper, metoder og verktøy for å kartlegge risiko i risiko-workshop utviklesBruk av risiko­workshoper i ledergrupper gir økt forståelse for risikokartleggingVidere utvikling av metode for å kartlegge risiko gjennom bruk av risiko­workshoper
Fase 2Nytt regelverk (SOX)Innføring av SOX for å sikre risikostyring og internkontroll i finansiell rapporteringProfesjons­uenighet om helhetlig styring av risiko i selskapet og forståelse av risiko
Fase 3Nye rammeverk for risikostyring (COSO, ISO).Nye krav til risikostyring og internkontroll (NAES)Ny tilnærming til helhetlig risikostyring der en søker å illustrere det totale risikobildet slik at det kan brukes i beslutningerAnsvaret for å utvikle ERM legges til CR-funksjonen, som har opparbeidet legitimitet for risikostyring, samt at nye regler begrenser hva internrevisjonen kan drive medNye prinsipper, prosesser, verktøy, roller og ansvar utvikles for ERM.Videre utvikling av ERM-praksisen skjer gjennom både samarbeid og uenighet med andre profesjoner i selskapet, der utfordringen ligger i å bygge bro mellom ulike fagmiljøerGradvis utvikling og tydeliggjøring av ERM-prinsipper, prosesser, verktøy samt roller og ansvar

Hver av de tre fasene starter med en revolusjonær endring av tidligere praksis etter ytre press, for deretter gradvis å gå over til en mer evolusjonær endring basert på indre drivkrefter. I den første fasen ser vi at det er eksterne ideer fra finans- og revisjonsbransjen som tas inn i selskapet. Dette leder til betydelige endringer i måten det jobbes på med risikostyring. For den finansielle risikostyringen skjer det først en revolusjonær endring ved at rutiner for å evaluere og styre risiko løftes fra lavere nivå i organisasjonen til konsernnivå, det utarbeides et nytt verktøy for å beregne markedsrisiko, og roller og ansvar for å håndtere den finansielle risikoen blir betydelig endret fra tidligere praksis ved at det etableres en MRC- og en CR-funksjon. Informasjonen fra risikostyringen er mer omfattende i beslutninger. Etter den første revolusjonære fasen går det over i en mer evolusjonær periode, der CR-funksjonen gradvis utvider risikoagendaen til også å omfatte nye områder. Innenfor internrevisjonen utløser de eksterne ideene starten på en ny måte å kartlegge risiko på, for deretter gradvis å bli forfinet gjennom utøvelsen av risiko-workshopene. På den måten lærer lederne seg hvordan risiko skal kartlegges, og det tas inn i beslutninger.

I den andre fasen er det nytt regelverk (SOX) som representerer det ytre presset, som revolusjonerer tilnærmingen til risikostyring og internkontroll for den finansielle rapporteringen. Etter som prosjektet utvikles, utvides ambisjonene til å være en tilnærming for å styre risiko i hele selskapet. I mangel av en helhetlig tilnærming til risikostyring når imidlertid ikke denne ambisjonen frem, og revolusjonen forblir innenfor den finansielle rapporteringen.

I den tredje fasen er det ytre press i form av regelverk og normer for helhetlig risikostyring som påvirker arbeidet med helhetlig risikostyring for selskapet. Den første perioden kan betegnes som en betydelig endring og en ny måte å tenke risikostyring på i selskapet. Deretter har det vært en evolusjonær prosess med gradvis utvikling av risikostyringsprinsipper, prosesser, verktøy samt roller og ansvar. CR-funksjonen har hatt en ledende rolle i utviklingsprosessen, med støtte fra CRC. Dagens praksis hadde imidlertid ikke vært den samme uten involvering fra andre miljøer. Involveringen har enten vært i form av samarbeid der kompetansen fra andre fagmiljø har bidratt til en videre utvikling, eller ved at andre fagmiljøer har hatt konkurrerende syn på risikostyring som har ført til en tydeliggjøring hva som er ERM i Statoil. I dag brukes dermed risikostyring på en systematisk måte i beslutningene.

Fra tidligere litteratur vet vi at det ikke er uventet å finne at ytre press kan lede til store endringer i praksis (Hoffman 1999). Imidlertid er det mindre kjent hva som er de interne driverne for hvordan en praksis formes. Med utgangspunkt i Perkmann og Spicer (2008) sin tilnærming til institusjonelt arbeid vil vi analysere utviklingen fra et politisk, teknisk og kulturelt perspektiv.

I alle tre faser har politiske prosesser spilt inn for å forklare utviklingen av ERM-praksisen. Etableringen av en CR-funksjon har vært forankret hos toppledelsen i selskapet. I tillegg hadde CR-funksjonen oppmerksomhet hos erfarne ledere i selskapet gjennom de månedlige CRC-møtene. I løpet av den første fasen opparbeidet CR-funksjonen legitimitet og kompetanse innen risikostyring, noe som gjorde at de stilte sterkere i senere diskusjoner om hva helhetlig risikostyring skulle være i selskapet. Fra tidligere forskning ser vi at internrevisjonen har spilt en sentral rolle i utviklingen av ERM i flere selskaper (Arena mfl. 2010, Vinnari og Skærbæk 2014). I Statoil ble ikke denne løsningen valgt, dels siden de hadde et kompetent risikomiljø, og dels siden internrevisjonens rolle innenfor kontroll og etterlevelse ikke kunne kombineres med en aktiv deltakelse i risikostyringen. Ved at CR-funksjonen har spilt en sentral rolle i utviklingen av ERM, har risiko og avkastning-logikken fått stor innflytelse på hva ERM er i selskapet.

Det å kunne teoretisere og beskrive hva risikostyring er, og illustrere dette i modeller og prinsipper, har vært sentralt i hele utviklingen av ERM. Ved å løfte diskusjonen til et prinsipielt nivå har flere miljøer i selskapet kunnet komme med innspill til forbedringer eller utfordre den eksisterende praksisen. Noe som kanskje særpreger Statoil, er egenutvikling av verktøy. Utviklingen av risikostyringsverktøy der informasjonen fra verktøyene benyttes i beslutningsprosesser, viser et eksempel på at risikostyring er noe mer enn en etterlevelsesøvelse, slik Power (2009) er bekymret for. Det kan også forventes å gi en større bruk i beslutninger siden verktøyene tas frem i samråd med brukerne av informasjonen.

I et selskap som Statoil, der fagmiljøer har stor grad av autonomi, og der ansvar og myndighet legges ut i organisasjonen, er det naturlig at det kommer ulike syn på hva risikostyring er. Det å innføre helhetlig risikostyring har derfor i stor grad vært et kulturprosjekt, der ERM-praksisen utvikles gjennom samarbeid, men også gjennom motsetninger mellom fagmiljøer. Det er i dette spenningspunktet at ny ERM-praksis har blitt skapt og prinsipper har blitt tydeliggjort. Det er også det som har bidratt til at ERM ikke bare blir «window dressing», men at den nye informasjonen også blir brukt i beslutninger.

Oppsummert kan vi lære fra Statoil-casen at ytre press kan føre til revolusjonære endringer ved at det settes i gang arbeid for å etablere en ny praksis som avviker betydelig fra den eksisterende måten å arbeide på. Når den første revolusjonære fasen er over, går det over til en mer evolusjonær fase der indre drivere er med på å påvirke den videre utviklingen. Her vil mange aktører kunne påvirke utviklingen av praksis gjennom sitt politiske, tekniske og kulturelle arbeid for å fremme egne synspunkter. Hvor godt aktørene lykkes med politisk, teknisk og kulturelt arbeid, vil avgjøre i hvilken grad ERM blir integrert i beslutningsprosesser. Dette er med på å forklare hvorfor ERM-praksisen er ulik fra selskap til selskap til tross for at de står overfor de samme ytre pressene, og at det kreves politisk, teknisk og kulturell kompetanse for å få ERM til å bli noe mer enn bare etterlevelse av lover og regler.

  • Arena, M., M. Arnaboldi og G. Azzone (2010). The organizational dynamics of enterprise risk management. Accounting, Organizations and Society, 35(7): 659–675.
  • Aven, E. og T. Aven (2015). On the Need for Rethinking Current Practice that Highlights Goal Achievement Risk in an Enterprise Context. Risk Analysis
  • Burns, J. og R.W. Scapens (2000). Conceptualizing management accounting change: an institutional framework. Management accounting research, 11(1): 3–25.
  • COSO, Committee of Sponsoring Organizations of the Treadway Commission (2004). Enterprise Risk Management – Integrated Framework.
  • DiMaggio, P.J. og W.W. Powell (1983). The Iron Cage Revisited: Institutional Isomorphism and Collective Rationality in Organizational fields. I W.W. Powell og P.J. DiMaggio (red.), The New Institutionalism in Organizational Analysis, s. 63–82. Chicago, IL: University of Chicago Press.
  • Hayne, C. og C. Free (2014). Hybridized Professional Groups and Institutional Work: COSO and the Rise of Enterprise Risk Management. Accounting, Organization and Society, 39: 309–330.
  • Hoffman, A.J. (1999). Institutional evolution and change: Environmentalism and the US chemical industry. Academy of management journal, 42(4): 351–371.
  • Institute of Internal Auditors (2009).The role of internal auditing in enterprise-wide risk management.
  • Lawrence, T., Suddaby, R. (2006). Institutions and Institutional Work. I S.R. Clegg, C. Hardy, T. Lawrence og W.R. Nord (red.), The Sage handbook of organization studies, s. 215–254. Thousand Oaks, CA: Sage Publications.
  • Meyer, J.W. og B. Rowan (1977). Institutionalized Organizations: Formal structure as Muth and control. American Journal of Sociology, 83(2): 340–363.
  • Mikes, A. (2009). Risk Management and calculative cultures. Management Accounting Research, 20(1): 18–40.
  • Mikes, A. (2011). From counting risk to making risk count: Boundary-work in risk management. Accounting, Organizations and Society, 36: 226–245.
  • Perkmann, M. og A. Spicer (2008). How are management fashions institutionalized? The role of institutional work. Human Relations, 61(6): 811–844.
  • Power M. (2007). Organized Uncertainty: Designing a World of Risk Management. Oxford: Oxford University Press.
  • Power, M. (2009). The risk management of nothing. Accounting, Organizations and Society, 34(6–7): 849–855.
  • Scott, W.R (1995). Institutions and Organizations. Thousand Oaks, CA: SAGE Publications.
  • Soin, K. og P. Collier (2013). Risk and risk management in management accounting and control. Management Accounting Research, 24(2): 82–87.
  • Vinnari, E. og P. Skærbæk (2014). The uncertainties of risk management: A field study on risk management internal audit practices in a Finnish municipality. Accounting, Auditing & Accountability Journal, 27(3): 489–526.
  • Woods, M. (2011). Risk Management in Organizations – an integrated case study approach. London: Routledge.

© Econas Informasjonsservice AS, Rosenkrantz' gate 22 Postboks 1869 Vika N-0124 OSLO
E-post: post@econa.no.  Telefon: 22 82 80 00.  Org. nr 937 747 187. ISSN 1500-0788.

RSS