Magma topp logo Til forsiden Econa

Torstein Hallaråker har mange års erfaring i lederfunksjoner i internasjonale selskap innen økonomi/controlling, IT, kredittadministrasjon og intern revisjon. Erfaringene er brakt videre gjennom flere års virksomhet som selvstendig rådgiver.

Jan Vig har en MBA fra Tyskland og en mastergrad i IT fra Australia. Han har arbeidet som rådgiver for mindre, mellomstore og større organisasjoner i en årrekke. Før han ble selvstendig rådgiver, arbeidet han 17 år for et internasjonalt konsern i inn- og utland i flere lederfunksjoner

Organisasjonens risikostyring og forholdet til investorene

Den ene parts operasjonelle risiko er den andre parts finansielle risiko. Gode systemer og prosesser for organisasjonens risikostyring, eller Enterprise Risk Management (ERM), er gull verd i kampen om kapital og gode betingelser.

Grunnlaget for dagens regnskapspraksis ble utviklet i første del av forrige århundre. De siste tiårene har de faktorer som påvirker næringslivets verdiskapning og suksess, endret seg betraktelig. I dag er vesentlige deler av mange foretaks verdier ikke synliggjort gjennom den tradisjonelle retrospektive regnskapsavleggelsen. Sammen med de raske endringene som finner sted i de ulike markedene, er derfor behovet for nye prospektive styrings- og rapporteringssystemer blitt omfattende. Bedre styrings- og rapporteringssystemer vil både kunne gi et selskaps ledelse og øvrige interessenter store fordeler:

  • En bedre forståelse av utviklingen i verdier og kritiske verdidrivere for foretakene vil kunne lede til en mer optimal fordeling av ressursene i foretakene, bedre resultat og derigjennom en høyere verdi.
  • Gjennom økt forståelse for selskapets verdiskapning hos øvrige interessenter vil usikkerheten rundt fremtidig utvikling reduseres. Dette vil kunne bidra til mindre volatilitet i aksjemarkedet og riktigere verdivurdering av foretakene som en følge av at risikopåslaget i avkastningskravet kan reduseres, og at selskapets verdi dermed øker. Ved å rapportere konsistent på de måltall og parametere som foretakene selv betrakter som de viktigste, oppnås samtidig en veiledning av finansmarkedet med hensyn til hva selskapet mener aktører bør fokusere på ved vurdering av foretaket.

Utviklingen går også i retning av at en rekke aktører og aktørgrupper stiller større krav til bedriftenes samfunnsansvar (Corporate Social Responsibility) enn tidligere. Stadig flere foretak verden over ser nytten av å ta større eller mindre deler av dette ansvaret. Mange næringsmessige aktiviteter har et potensial til å påvirke sine omgivelser både i positiv og negativ retning. Fra å være definert som noe negativt og kostnadsdrivende, er det stadig flere foretak som nå ser det som forretningsmessig fornuftig å ta samfunnsansvar. De legger derved mer vekt på miljøspørsmål, etikk og sosialt ansvar. Mange har også kunnet høste en positiv verdiskapning fra dette, mens langt flere har gått på store tap gjennom mangel på etikk, samfunnsansvar og miljøfokus, ikke minst i forhold til omdømme. En forutsetning for å kunne høste verdier fra et slikt verdisyn er at foretaket har kartlagt og overvåker de faktorer i virksomheten som kan slå negativt ut for det samfunnet virksomheten arbeider i.

I dette bildet vil selskapets eiere og øvrige finansieringskilder kort sagt være opptatt av hvordan selskapet klarer å håndtere de trusler (risikoer) og muligheter selskapet står overfor, og således ta vare på de verdier det har til rådighet. Enhver risiko selskapet ikke er forberedt på, eller ikke er i stand til å takle, vil utgjøre en finansiell risiko for eiere eller långivere. Både finansieringskilden og den som disponerer andres midler har altså gjensidig nytte av hverandres evne til å kontrollere risiko.

Det er dette gjensidige nytteforholdet vi skal prøve å belyse i denne artikkelen.

En investors perspektiv

Et selskaps verdi vil være avhengig av øynene som ser – og hva som er synlig. Dermed må vi kunne avlede at jo mer vi kan se, jo mindre ubegrunnet bekymring har de impliserte parter.

Generelt består et selskaps verdi av summen av mange elementer (både materielle og immaterielle verdier). Verdien er imidlertid også knyttet opp mot fremtidsutsikter og usikkerhet vedrørende verdifastsettelsen. I dag brukes blant annet informasjon fra det offisielle regnskapet til å forstå foretaket. Det offisielle regnskapet inneholder særlig informasjon om historiske resultater og materielle eiendeler. Imidlertid er det en rekke «usynlige» (immaterielle) verdier som humankapital og innovasjon, samt usikkerhet knyttet til disse, som sammen med de materielle eiendelene er grunnlag for fremtidig verdiskapning, og dermed verdifastsettelse i foretakene. Slike «usynlige verdier», med muligheter og trusler, fremkommer ikke i strukturert form gjennom regnskapsavleggelsen. Det tradisjonelle finansregnskapet vil ofte kun reflektere endringer i foretaket etter at de har funnet sted. Tilleggsinformasjon om verdiskapning, muligheter og trusler har potensial til å avdekke endringer i foretakene på et tidligere tidspunkt, og vil følgelig kunne bidra til en raskere korreksjon av verdsettelsen.

Modell av et foretaks verdi.

 

figur

God prospektiv informasjon, som også omfatter organisasjonens kunnskapskapital, bidrar derfor til mindre volatilitet og større forståelse for organisasjonens virksomhet i aksjemarkedet. Dermed fører det også til riktigere verdivurdering av foretakene som en følge av at risikopåslaget i avkastningskravet fra kontantstrømmene kan reduseres. Dette gjelder både for egenkapitaleiere og fremmedkapitaleiere.

Som en følge av dette øker også selskapets verdi. En forutsetning er imidlertid at interessentene kan ha den nødvendige tillit til den informasjonen som fremlegges. Tillit skapes gjennom god virksomhetsstyring (Corporate Governance) og åpenhet i forhold til sine interessenter.

Virksomhetsstyring (Corporate Governance)

Corporate Governance er generelt referert til som «de prosesser som organisasjonen er styrt og kontrollert etter, og er ment å imøtekomme». Et godt internt styringssystem forutsetter at foretaket har kartlagt den underliggende verdiskapningen og konsekvent måler resultatet fra den, og styrer etter dette. Det finnes i dag en rekke teorier og modeller innenfor virksomhetsstyring som kan hjelpe foretak til å kartlegge, måle resultatet fra og styre sine aktiviteter etter. Eksempelvis kan nevnes Balanced Scorecard, Business Excellence, European Foundation of Quality Management (EFQM), Intellektuell Kapital og ikke minst Enterprise Risk Management (ERM) som vi skal konsentrere oss om her.

Mangler ved de interne styringssystemene har i stor grad vært medvirkende til de senere års finansielle skandaler. Derfor har også offentlige myndigheter i økende grad vist interesse for virksomhetsstyring. Felles for de fleste juridiske regimer rundt om i verden ser ut til å være ønske om å «henge bjella på katten» gjennom prosesser som har til hensikt å skjerpe lovgivningen. Storbritannia har sin « Turnbull Code» av 1999, Frankrike «Vianot Report» av 1995 og 1999, Tyskland «KonTraG» og USA «The Sarbanes-Oxley Act» (SOX). Ellers ser vi både i Norge og i verden for øvrig en klar tendens til å at de ulike land ratifiserer eller tar opp i seg ulike konvensjoner i stedet for å utvikle egne lover på de ulike områder.

Norske organisasjoner vil først og fremst måtte forholde seg til norske lover. Dersom disse organisasjonene er del av et konsern som er eid eller representert i andre land, eller henter deler av sin kapital på utenlandske børser, vil disse landenes lover og regler likevel kunne få direkte virkning. Selv om de ulike lands lover i hovedsak har samme målsetting, kan de likevel utvikle seg i noe ulik retning. Mens utviklingen i Europa ser ut til å gå på en skjerpelse av styrets ansvar og plikt til å holde seg informert, fokuserer SOX på administrerende direktør (CEO), finansdirektør (CFO), rådgivere og revisorer. Årsaken til dette kan selvfølgelig være at den lovgivningen det tas utgangspunkt i, er forskjellig. I så fall kan det se ut som om man i USA mener at den lovgivningen som regulerer styrenes ansvar for de siste års finansielle skandaler, er god nok.

En annen årsak til at man fokuserer ulikt i USA og Europa, kan være ulik organisasjonsstruktur, med tanke på størrelse og eierforhold. Vi kan tenke oss at Europa i større grad enn USA preges av mindre selskap med færre eiere som også representerer seg selv i styret og kanskje arbeider i selskapets ledelse. Da blir det kanskje ikke så galt at dette øker behovet for å begrense eiernes mulighet til å skjule og beskytte sitt personlige ansvar bak selskapet som eget rettssubjekt. Europeiske lovgivere kan med andre ord ha ment at det har blitt for stor avstand mellom det en person kan gjøre i selskapets navn, og konsekvensene for denne personen.

Vi kan selvfølgelig også spekulere i om manglende fokus på styreansvar i SOX er forårsaket av at relasjonene mellom lovergivere og styrerommene kanskje er tettere i USA enn i Europa. I en situasjon der lovgiver har hatt hastverk med å få frem en lov, kan det ha vært lettere å rette fokus vekk fra de steder det må kunne forventes at den politiske motstanden er sterkest.

Risiko, gevinst og ressurser

Norske myndigheter synes å mene at eksisterende lover i hovedsak er tilstrekkelige. Unntaket kan være revisorloven, der lovgiverne ønsker å åpne for presiseringer gjennom forskrifter. Videre forventes det at denne må gjennomgås i sin helhet etter at EU har kommet med sitt «8. Selskapsdirektiv». Det ser derfor heller ikke ut til at vi vil få noen sentral lovgivning for organisasjonsstyring i likhet med SOX (USA) eller KonTraG (Tyskland) i Norge. Kjernen i norsk lovgivning på dette området vil være aksjeloven med tillegg av revisorloven, den kommende arbeidsmiljølovenskatteloven og andre særlover gjeldende for de enkelte tilfeller.

Potensiell utvikling av «Corporate Governance» fra «administrasjon» til «styring».

figur

Enterprise Risk Management (ERM) er en viktig del av Corporate Governance. Hovedelementene er forretningsplanlegging, risikohåndtering, overvåkning av prestasjoner og ansvarlighet. Den globale utviklingen med hensyn til Corporate Governance-reguleringer medfører at ledelsen må formalisere prosessene for hvordan organisasjonen tilnærmer seg risikoer for å nå organisasjonsmessige målsettinger. Målet er å beskytte og imøtekomme interessegruppenes interesser ved hjelp av formelle føringer, begrensning av risikoer og informasjon om disse.

Corporate Governance-aktiviteter består av fire prinsipielle komponenter:

1. Retning

2. Ledelsens aksjoner

3. Overvåkning

4. Ansvarlighet

Det kan være en stor utfordring å forbedre Corporate Governance-praksisen ved å bygge opp en kobling mellom risikoer, gevinst og ressurser. Formell integrasjon av disse og andre styringspraksiser, slik som organisasjonsplanlegging, kvalitetssikring, årlig rapportering og revisjon, som er koordinert av ledelsen, vil likevel kunne bidra til dette.

Tradisjonell virksomhetsstyring har i stor grad fokusert på administrasjon og operasjonell ledelse. Utviklingen i dag går i retning av prospektive betraktninger, ansvarlighet og tilsyn. Gjennom dette fremtvinges en helt annen måte å søke informasjon og å rapportere på. Her utgjør ERM en viktig brikke både fordi vi dermed favner om hele organisasjonens virksomhetsområder og verdier, og fordi vi retter blikket fremover i prospektive betraktninger. Et godt ERM-system bidrar til å sannsynliggjøre at den informasjonen en interessent mottar vedrørende noen av organisasjonenes verdier, er etterrettelig, dokumentert og etterprøvbar.

ERM-systemet

Lovgivningen i Norge gir generelt styret ansvaret for den informasjonen som gis interessentene. Men den er forsiktig med å presisere eller gi rammer for hvordan ansvarsutøvelsen skal finne sted. Behovet for dokumentasjon på at organisasjonen har arbeidet etter alminnelig kjente og aksepterte metoder, er med andre ord begrenset dersom vi legger lovtekstene til grunn. For investorer og finansieringskilder vil det imidlertid være av stor betydning at den informasjonen som fremlegges, er fremskaffet via kjente og mest mulig standardiserte prinsipper, metoder og verktøy.

For organisasjoner som av ulike grunner må forholde seg til amerikanske regler (SOX), er det imidlertid uansett viktig å kunne gjøre rede for hvilken metodikk organisasjonen bruker, og hvilke regler den tar sikte på å tilfredsstille. Tyske styrer må på sin side hele tiden være forberedt på å kunne dokumentere at de har gjort det som står i deres makt for å holde seg informert, samt hvilken metodikk som er anvendt.

Valgfriheten er fortsatt til stede for den organisasjon som har store ressurser til å utvikle og dokumentere sin egen metodikk og sine egne regler etc. Velger organisasjonen en slik løsning, må den imidlertid også være forberedt på i lang tid fremover å påta seg kostnadene med å måtte vedlikeholde sin egen løsning, samt kommunisere denne til interessenter som skattemyndigheter, investorer, samarbeidspartnere etc. Dette er problemstillinger både COSO (Committee of Sponsoring Organizations of the Treadway Commission) og AS/NZS (Standards Australia) har identifisert og adressert gjennom sine anbefalte rammeverk/systemer.

«COSO’s Enterprise Risk Management – Integrated Framework» fra 2004 har etter hvert fått stor utbredelse som grunnlag for ERM-systemer i Europa og USA, mens « AS/NZS 4360:2004, Risk Management» og «Handbook, HB 436:2004, Risk Management Guidelines» er mye brukt i Asia og Australia/New Zealand.

Rammeverkene/systemene har som målsetting å skape en felles forståelse eller et veikart frem til gode rutiner og etterlevelse av lovverk.

Ingen av disse rammeverkene er direkte lovpålagt i noe land. Utbredelsen har kun kommet gjennom gjensidig nytte mellom ulike aktører og indirekte gjennom ulike regnskapsregler. Banker og finansieringsinstitusjoner stiller derimot i en egen klasse. Disse er i hovedsak underlagt det såkalte Basel-regelverket som vi senere skal komme nærmere inn på.

Prosess i fire deler

Ulike deler av en ERM-prosess stiller svært ulike krav til ressurser, engasjement, kompetanse, gjennomføringsfrekvens, teknologi etc. Dette er forhold som i liten grad fremheves i rammeverkene til COSO og AS/NZS. Et klart fokus på dette vil imidlertid både kunne lette etableringer av prosesser og systemer og samtidig spare ressurser. Vi har funnet at en godt fungerende ERM-prosess grovt sett består av fire underprosesser, eller grupper av prosesselementer:

1. Det bedriftsinterne miljø i form av organisasjon, ansvar og myndighet, teknologi, kompetanse, strategier og mål, samt flere andre grunnleggende faktorer, avgjør samlet om systemet vil fungere.

2. ERM-kjerneprosessen skal identifiser vesentlige risikoer, mulige risikoer og muligheter samt rapporter disse.

3. Operative aktiviteter skal iverksette foreslåtte tiltak og utviklingen av disse.

4. Systemovervåkning og etterprøving skal kunne forvisse ledelsen om at systemet fungerer tilfredsstillende, og foreslå forbedringer. Denne består av ERMSE (ERM  SystemEvaluering) som er en strukturert analyse og dokumentasjonen av ERM-systemet og dets undersystemer basert på innhentet informasjon fra sentrale personer i organisasjonen og internrevisjonens – eller en uavhengig tredjeparts – tilsyn og etterprøving.

Modell av en ERM-prosess.

 

figur

Disse fire underprosessene har vi igjen delt inn i totalt åtte prosesselementer/-faser:

1. Etablering av kontekst

2. Identifisering og kvantifisering av risikoer

3. Analyse av enkeltrisikoer

4. Evaluering og prioritering

5. Tiltak

6. Rapportering

7. Håndtering og overvåkning

8. Systemevaluering (ERMSE) og revisjon

Samtidig er alle disse prosesselementene avhengige av god kommunikasjon med alle ledd i organisasjonen.

Under identifisering, bearbeiding og rapportering må risikoene grupperes og tilordnes ulike risikokategorier.

Risikokategorisering

En kategoriseringsmodell er en organisasjons «vedtatte» modell for å sortere og tilordne de ulike risikoene slik at disse kan aggregeres og analyseres på ulike nivå i organisasjonen. Modellen er således et vesentlig element i organisasjonens «stammespråk» i omgang med risikoer og muligheter. Den skal både bidra til at det blir lettere å identifisere akkumuleringer, og til at en unngår at en og samme risiko blir medregent flere ganger under ulike begreper. For å sikre dette bør vi derfor ha en klar strategi under valget av modell og konsekvent holde oss til denne.

Følgende er eksempler på utgangspunkt for de mest vanlige strategier:

1. Årsaker, for eksempel ustabil produksjonsprosess, leverandøravhengighet, risiko for substitutter, teknologisk forandring eller kvalitetsproblemer

2. Hendelser, for eksempel regionale kriser, miljøkatastrofer, streiker, misligheter eller feil i tekniske systemer

3. Konsekvens, for eksempel på eiendom, inntjening, cash flow eller image/omdømme

4. Risikohåndteringsstrategi, for eksempel mulighet for forsikring, mulighet for å kontrollere eller mulighet for å transferere

Eksempelvis vil en «hendelse» i form av bakterieutbrudd i produksjonsanlegget til en kjøttvareprodusent kunne få mange «konsekvenser» i form av driftsstans, desinfisering og tapt salg gjennom tap av omdømme etc. En sammenblanding av strategier under valg av kategoriseringsmodell vil her kunne skape vansker, eksempelvis med andre hendelser som har samme konsekvens.

Kategoriseringsmodellen er også en første indikasjon på behovet for spesialisering innen mer «Operasjonell Risk Management». De ulike områdene innen kategoriseringsmodellen vil i det daglige kunne ha behov for svært ulik ekspertise, oppfølging og verktøy. ERM-systemet og dets kategoriseringsmodell er imidlertid en fellesnevner som alle «operative risk management-systemer» må forholde seg til for at organisasjonen skal kunne ha en enhetlig oversikt. Samtidig bidrar kategoriseringsmodellen til at alle vesentlige risikoer blir adressert til riktig faglig og administrativt nivå.

Eksempel på en overordnet modell med utgangspunkt i «hendelser» er illustrert tabell 1.

Tabellen illustrerer øverste nivå i en «hendelsesbasert» kategoriseringsmodell.

1. Forretningsrisikoer 1.1 Eksterne risikoer (globale,politiske, sosiale, naturkatastrofer) 1.2 CorporateGovernance-risikoer 1.3 Eksterne strategiskemarkeds-/bransjerisikoer 1.4 Andre eksterne strategiskerisikoer 1.5 Forretningshåndteringsrisikoer Forandringer i enten eksterne omgivelser eller i denforretningsmessige strategi som følge av slike forandringersom kan virke forstyrrende på evnen til fortsatt å arbeidemålrettet. F.eks. konkurrenters adferd.
2.Operasjonelle risikoer, administrasjonsrisikoer ogledelsesrisikoer 2.1 Teknologi- og produktutviklingsrisikoer2.2 Produksjons- og distribusjonsrisikoer 2.3 Strategi-,markedsførings- og salgsrisikoer 2.4 Organisasjons- ogledelsesrisikoer 2.5 Prosjektrisikoer Risikoer innen verdikjedeprosessen eller støtteprosesser.F.eks. stabil produksjonsprosess.
3. Juridiske risikoer og konformitetsrisikoer Sviktende evne til å forstå eller effektivt ta ibruk/etterleve lover, reguleringer, bokholderi/skattemessigekrav eller offentlige standarder og/eller kontrakterog/eller prinsipper og praksis. F.eks.produktsikkerhet.
4. Finansielle risikoer Risikoer relatert til finansielle transaksjoner. F.eks.valutarisikoer, kredittrisikoer, landsrisikoer
5. IT-risikoer Svikt/unnlatelse i å skaffe stabilitet, sikkerhet,funksjonalitet, tilgjengelighet og pålitelighet.Fleksibilitet og støtte til informasjonssystemer ogdatabanker. F.eks. misbruk av informasjonssystemer.
6. Personalrisikoer Svikt/unnlatelse i å rekruttere, belønne, utvikle,forsvare eller beholde ansatte eller utvikle gode relasjonermed de ansatte. F.eks. rekruttering avnøkkelpersonell.
7. Innkjøpsrisikoer Risikoer som oppstår i innkjøpsprosessen,innkjøpslogistikk eller kjøpte varer/tjenester mht.tilgjengelighet, kvalitet og/eller priser. F.eks.avhengighet av leverandører.

Basel II-reglene

Bankene er på mange ulike måter eksponert for risiko gjennom sine engasjement som kapitalleverandør i næringslivet. Først og fremst gjelder dette utlån, eierskap og garantier. I motsetning til de fleste andre næringer er finansnæringen gjenstand for særlige regler for kapitalkrav basert på konkrete beregninger av risikoeksponeringer.

I 2004 satte norske banker av en sum tilsvarende rundt 11 % av den risikojusterte porteføljen som kapitaldekning. Avsetningene skal fungere som en buffer for fremtidige tap, og i ytterste konsekvens hindre at banken går konkurs. Binding av slik egenkapital koster penger, blant annet fordi denne kapitalen kunne blitt investert i lønnsomme prosjekter.

Reglene som legges til grunn for bankenes kapitalavsetninger, omtales gjerne som «the Basel Accord» (fra 1988). EU-kommisjonen har også arbeidet med revidering av gjeldende kapitaldekningsregler for banker og finansinstitusjoner. Dette har skjedd parallelt med tilsvarende arbeid med de såkalte «Base II-reglene» i Basel-komiteen for banktilsyn, og kan få stor betydning for ulike organisasjoners tilgang til – og kostnadene ved – kapital. De nye EU-reglene vil bygge på Basel-komiteens forslag, og skal ventelig tre i kraft 1. januar 2007 (med adgang til å benytte de såkalte «Avanserte metodene» fra og med 1. januar 2008). Regelverket gjennomføres i Norge som en del av EØS-avtalen.

Basel II-reglene er bygd opp av tre fundament, også kalt pilarer.

figur

Tre typer risiko som bestemmer kapitaldekning

De nye Basel II-reglene for kapitaldekning i banker vil på sikt vesentlig kunne påvirke det øvrige næringsliv som først og fremst er kunde hos bankene. De nye reglene åpner for andre, mer differensierte beregningsmetoder for krav til bankenes kapitaldekning gjennom mer sofistikerte beregningsmetoder. Basel-reglene er bygd opp av tre såkalte «pilarer», eller «fundament». Det er først og fremst «fundament 1», som omfatter nye regler for minimumskrav til kapitaldekning, som har betydning i denne sammenhengen. Det består av følgende:

1. Markedsrisiko omhandler beregning av risiko forbundet med bankens handel i aksjer og obligasjoner. Det er ikke foreslått endringer til dette punktet.

2. Operasjonell risiko omfatter menneskelige eller tekniske feil knyttet til organisasjonens virke. Med Basel II-regelverket innføres nå krav til kapitaldekning, også for operasjonell risiko i bankene.

3. Kredittrisikoen gjelder bankens utlån til både næringsdrivende og privatkunder (hus, bil, forbruk etc.). Det er her endringene er størst og konsekvensene for lånekundene bør bli mest merkbare. Bankene kan velge ulike strategier for beregning av kredittrisiko. Gjennom innføring av systemer for klassifikasjon / intern rating / estimering kan bankene få anledning til å benytte IRB-metodene (Internal Rating Based) for beregning av kapitaldekningskrav for kredittrisiko. De interne ratingene/vurderingssystemene må oppfylle en rekke krav fra tilsynsmyndighetene, deriblant at banken har brukt dem i tre år før godkjennelse til bruk av en IRB-metode kan gis:

a. «Standardmetoden» for beregning av kapitaldekning for kredittrisiko er den enkleste, og bygger på dagens regler. Med Basel II innføres krav om at risikovekting av aktiva differensieres etter motpartens eksterne rating/vurdering (AAA til AA-, BB+ til BBB-, etc.).

b. Med «Foundation Internal Rating Based»-metoden (Foundation IRB) beregner banken forventet misligholdssannsynlighet (PD – Probability of Default) for sine engasjement selv, mens de øvrige variabler som inngår i beregning av kapitaldekning, utarbeides av tilsynsmyndigheter. Basel II-regelverket setter krav til fem års historikk for forventet misligholdssannsynlighet.

c. «Advanced IRB»-metoden er den avanserte metoden for kredittrisiko. Banker som ønsker å benytte Advanced IRB-metoden skal selv beregne forventet eksponering ved mislighold (EAD – Exposure at Default), tapsgrad (LGD – Loss Given Default) og restløpetid (M – Maturity). Det vil her bli satt krav til blant annet at beregning av EAD og LGD skal baseres på minst sju års syklus.

Reduksjon i bankenes kapitaldekning vil kunne spare bankene for store beløp. Bankkunder som klarer å kommunisere sin risikoeksponering slik at bankene kan nedgradere sin risikovurdering av kunden, vil kunne få nyte godt av dette både via lettere tilgang til kapital og dessuten billigere kapital.

Kredittilsynet og Norges Bank har foretatt beregninger for norske banker for å kartlegge virkningen på kapitalkravet av Basel-komiteens og EU-kommisjonens forslag. Disse beregningene dekker 84 % av forvaltningskapitalen i norske banker. Resultatene viser at kapitalkravet for kredittrisiko reduseres med 32 %. Det nye kapitalkravet for operasjonell risiko bidrar til en økning på 7 %, slik at den samlede reduksjonen er 25 % i forhold til gjeldende regelverk. Det er først og fremst reduserte kapitalkrav for boliglån og små og mellomstore bedrifter som bidrar til de store utslagene. Det er liten grunn til å anta at norske myndigheter har vesentlige innvendinger mot dette, selv om Kredittilsynet i ulike uttalelser klart har påpekt hvilke trusler og muligheter som følger med.

Banker som ikke velger å benytte seg av de muligheter Basel II åpner for, vil kunne oppleve tre negative konsekvenser i forhold til banker som benytter «IRB Approach»:

1. Banker som benytter «IRB Approach» vil kunne tilby bedre betingelser for de mest attraktive kundene, hvilket vil føre til lavere markedsandeler i disse segmentene for banker som benytter «Standardized Approach».

2. Dersom banker som benytter «Standardized Approach» opprettholder sin nåværende markedsandel, vil punkt 1 medføre at den samlede risikoeksponeringen vil øke gjennom redusert kvalitet i porteføljen, hvilket igjen vil øke bankens behov for risikokapitaldekning og dermed øke finansieringskostnader sammenlignet med konkurrentene.

3. Bankene vil få negativ signaleffekt i forhold til tilsynsmyndigheter, ratingbyråer, analytikere, eiere og kapitalmarkeder (når det gjelder rykte). Oppfattelsen av at banken har tilfredsstillende styring av risiko, og dermed tilliten til kvaliteten i bankens portefølje, vil kunne svekkes i forhold til konkurrenter som oppfyller kravene til «IRB Approach», og som kommuniserer dette troverdig og effektivt.

Norske banker forbereder seg derfor på innføringen av Basel II. De viktigste erfaringene er:

• Mer systematisk oppdatering og testing av de «Risk Management»-modeller bankene bruker.

• Økt bevissthet om bruk av et systematisk rammeverk for operasjonell risiko – dette er et område som har vært mindre vektlagt enn kredittrisiko i bankverdenen.

• Bedre måltall for operasjonell risiko og dermed bedre måling av total risiko og «economic capital».

• Bedre transparens i forhold til risikostyringen, slik at kommunikasjonen med markedet blir tydeligere.

o Mulig lavere risikopremie i aksjemarkedet, som følge av en bedre forståelse for bankens underliggende porteføljekvalitet.

o Mulig naturlig seleksjonsprosess mot lånekunder av høyere «kvalitet», da risikokunder vil søke mot banker med en mindre tydelig risikobevissthet.

Verdien i en Basel II-iverksettelse må imidlertid først og fremst begrunnes ut fra ønsket om å dra fordel av de markeds- og regulatoriske endringer som følger av at regelverket innføres.

Konsekvenser for bankenes kunder

Ved å styrke fokus på egne operasjonelle risikoer, vil bankene direkte kunne påvirke sine kostnader til kapitaldekning. Samtidig bygger bankene opp en kultur og bevissthet innen egne rekker om operasjonelle risikoers betydning. Denne bevisstheten vil før eller senere slå ut i bankenes omgang med kunder.

Bankkundenes operasjonelle (og andre) risikoer fremkommer som kredittrisiko hos bankene. Bankene vil derfor ha mye å hente på å kommunisere sine erfaringer på området videre til sine kunder. Bankkunder som klarer å kommunisere sin bevissthet på området via godt tilrettelagt informasjon fra gode ERM-systemer, slik at bankene kan nedgradere sin risikovurdering, vil ikke bare få lettere tilgang til kapital. Dersom en eventuell gevinst av dette initiativet i bankene i noen grad skal brukes i kampen om markedsandeler, er det nærliggende å anta at bankene også vil favorisere kunder som selv har god kontroll med sine risikoer, gjennom bedre betingelser.

Hvordan vil investorenes perspektiv og Basel II kunne slå ut for det øvrige næringsliv?

figur

Et godt ERM-system tjener derfor organisasjonen i rollene både som egenkapitaleier /fremmedkapitaleier og som investeringsobjekt/låntager. Som andre gode prosesser verdsettes det også som en del av organisasjonenes kunnskapskapital, som under gitte omstendigheter også vil la seg balanseføre.

Oppsummering

ERM vil drives frem både av direkte kommersielle krav til resultater på bunnlinjen og direkte lover og regler for å beskytte organisasjonens ulike interessenter.

Ved siden av rasjonell intern utnyttelse av ressurser generelt er resultatene på bunnlinjen påvirket både av organisasjonens tilgang på ekstern kapital og prisen på denne. Kilden til denne kapitalen er normalt investorer og/eller banker som begge bygger inn større eller mindre elementer av risiko i prisen på sin kapital. Målet er derfor å øke deres forståelse for organisasjonens verdiskapning og potensial, og derigjennom bidra til riktigere prising av den kapital de stiller til rådighet. Tilleggsinformasjonen i form av tilrettelagt informasjon fra gode ERM-systemer vil kunne bidra til følgende:

• Informasjonen vil lette tilgangen både til egenkapital og fremmekapital gjennom økt forståelse for verdiskapningen og bedre estimater på fremtidige kontantstrømmer. Dermed vil avkastningskravet kunne reduseres, grunnet mindre risiko/varians i kontantstrømestimatene.

• Informasjonen vil bedre fremmedkapitalsbetingelser fordi dokumentert og etterprøvbar tilleggsinformasjon kan åpne for større differensiering av bankenes betingelser etter innføring av Basel II-reglenes «avanserte» kredittrisikoberegninger.

Bankenes evne og vilje til å tilby attraktive kunder særlig gunstige vilkår vil kunne øke. Attraktive kunder vil imidlertid måtte kunne tilby bankene transparent informasjon som understøtter bankenes analyse av kredittrisikoen.

Tilbudte betingelser vil kunne variere vesentlig fra bank til bank i forhold til dagens situasjon, avhengig av bankenes risikoportefølje og valgte beregningsgrunnlag for kapitaldekning.

De overordnede forutsetningene for å lykkes i forholdet til sine finansieringskilder kan oppsummeres slik:

1. Man tar utgangspunkt i foretakets strategi for verdiskapning, forstår organisasjonen og dens sentrale forretningsprosesser og kartlegger herunder hva som er kritiske faktorer for å lykkes med å skape verdi. I dette ligger å kartlegge organisasjonens materielle og immaterielle verdier og beskrive hvordan disse inngår i de sentrale forretningsprosessene.

2. Man bestemmer de elementene av ressurser og aktiviteter som er av størst betydning for oppnåelse av foretakets strategiske mål (kritiske suksessfaktorer). Man etablerer «indekser» eller måleparametere som mål på disse ressursene og aktivitetene, og inkluderer videre disse i foretakets styringssystem.

3. Man foretar målinger av gjennomførte aktiviteter og bruker informasjonen fra målesystemet til å forsterke ønsket adferd og aktivitet, og til å korrigere kurs og forsterke læring.

4. Man rapporterer eksternt om status og utvikling for de måltallene som er definert som kritiske.

Interne styringssystemer synes derfor å bli mer og mer sentrale i kommunikasjonen med interessenter. Utfordringen kan imidlertid være å finne frem til den «riktige og viktige» informasjonen og hvordan denne skal fremskaffes. Det ville ikke forundre oss om mange konkluderer med at et godt ERM-system er en ren nødvendighet.

Litteratur

  • Borge, D. The book of risk, John Wiley & Sons, Inc., New York, 2001
  • Brealey, Richard A. Financing and Risk Management: Corporate Finance with the Brattle Group, New York: McGraw-Hill, 2003
  • COSO, Enterprise Risk Management – Integrated Framework, September 2004
  • Coyle, Brian. Risk Awarness and Corporate Governance: Instute of Financial Services (ifs). Oxford: Butterworth & Heinmann, 2002
  • DeLoach, J.W. Enterprise-wide Risk Management Strategies for linking risk and opportunity, Prentice Hall, Pearson Education Ltd, 2000
  • Finke, Roberet og Frank Romeike (HRSG.). Erfolgsfaktor Risiko-Management: Chance für Industrie und Handel – Methoden, Beispiele, Checklisten. Wiesbaden: Gabler, 2003
  • Frame, J. Davidson. Managing Risk in Organizations: A Guide for Managers. Chichester: Wiley, 2003
  • Lam, James. Enterprise Risk management: From Incentives to controls. Chichester: Wiley, 2003
  • Marrison, Chris. The Fundamentals of Risk Measurement. New York: McGraw-Hill, 2002
  • Mattheus, Mario. «KonTraG: Frühwarnung und Transparenz nun gesetzlich gefordert», Krisennavigator.de, 7. Jg (Januar 2004). Jttp://www.krisennavigator.de/ri-in-d.html
  • Merbecks. Andreas, Uwe Stegenann og Jesko Frommeyer. Intelligentes Risikomanagement – Das Unvorhersehbare meistern. McKinsey Perspektiven: Redline Wirtschaft, 2004
  • RAROC 2020: A Comprehensive Risk measure Service. New York: Bankers Trust, 1995
  • Standard Australia. AZ/NZ 436:2004. Risk Management Guidelines – Companion to AS/NZS 4360:2004. Standard Australia. 2004
  • Standard Australia. AZ/NZ 4360:2004. Risk Management. Standard Australia. 2004
  • The Institute of Charted Accounts in England and Wales. The Turnbull Report. www.icsew.co.uk/internalcontroll, 1999
  • The Turnbull Report, Internal Control Guidance for Directors on the Combined Code, The Institute of Chartered Accountants in England & Wales, September 1999, Revised Turnbull guidance (October 2005)
  • Vaughan, Emmett J. Fundamentals of Risk and Insurence. Chichester: Wiley, 2003
  • Warwick, Ben. The Handbook of Risk: Investment Management Consultants Assoc. (IMCA). Chichester: Wiley, 2003
  • Wolf, Klaus og Bodo Runzheimer. Risikomanagement und KonTraG. Konzeption und Implementierung. Wiesbaden: Gabler, 2003.

© Econas Informasjonsservice AS, Rosenkrantz' gate 22 Postboks 1869 Vika N-0124 OSLO
E-post: post@econa.no.  Telefon: 22 82 80 00.  Org. nr 937 747 187. ISSN 1500-0788.

RSS