Magma topp logo Til forsiden Econa

Risiko og ansvar

figur-author

Sammendrag

Risikostyring handler om å være best mulig forberedt for usikkerhet. For å treffe de rette tiltak til rett tid er det avgjørende at styre og ledelse har en inngående forståelse av sitt ansvar og har etablert helhetlige systemer for å være best mulig rustet mot usikkerhet og kriser. I denne artikkelen understrekes det hvor viktig et helhetlig blikk på risikostyring er. Videre presenteres noen aktuelle problemstillinger og situasjoner som viser hvor kompleks hverdagen kan være, som understreker hvor viktig et helhetlig blikk på utøvelse av risikostyring og plassering av ansvar er.

Utviklingen av risikostyring går langt tilbake i tid. Menneskers evne til å forutse hendelser og forberede seg representerer et skifte fra fortid til moderne tenkning. Da menneskene forstod at vi kan påvirke fremtiden, og at vi ikke er passive tilskuere til hva naturen gjør, la det grunnlaget for utvikling, vekst og velstand. 10 Betydningen av å treffe tiltak for å sikre at mennesker ikke skulle sulte selv hvis avlingene ikke slo til, er et eksempel på tidlig risikostyring. Denne tenkningen er utviklet videre og gjør at vi kan ta aktive valg for å redusere sannsynligheten for usikkerhet eller konsekvensene av det vi ikke kan vite fremover. Risikostyring er i dag en integrert del av de valgene vi gjør hver dag, fra å bruke bilbelte til å kjøpe forsikring. Det er også integrert i virksomheters strategiske valg og daglig drift, fra valg om ekspansjon til nye markeder eller interne tiltak for å hindre korrupsjon. Risikostyring handler om å treffe tiltak for å gjøre oss mindre sårbare for usikkerhet. Et viktig virkemiddel for å få dette til er tydelighet i roller og ansvar.

Behovet for tydelige ansvarslinjer er viktig i virksomheter der risikoen er høy. I skipsfarten, fra de tidlige seilskutene og frem til dagens cruiseskip og supertankere, har det aldri vært spørsmål om hvem som har ansvaret for det som skjer om bord. Det å ferdes på havet har alltid medført risiko, både fordi fartøy i begrenset grad tåler en storm og kan forlise, og fordi en grunnstøting eller kollisjon vil kunne ha enorme menneskelige, miljømessige og økonomiske konsekvenser. Det var derfor viktig at tydelig ledelse og tydelige ansvars- og styringslinjer var på plass allerede da mennesker begynte å ferdes på havet. Dette var viktige virkemidler for å forberede og gjennomføre en seilas og for å ta rette beslutninger hvis krisen oppsto. Kapteinens helhetlige ansvar for skipets og besetningens sikkerhet gjør at han må jobbe med rekruttering, opplæring, etikk og holdninger for å kunne føre skipet sikkert og ta de beste beslutninger. Selv om kapteinen er den med mest erfaring, kan han ikke stå på kommandobroen hele tiden. Han vurderer når risikoen er slik at han vil være til stede for å kunne gripe inn, og når han kan hvile. Før kapteinen går og legger seg, skriver han sin nattordrebok til vaktsjefen. Nattordren er en liste over situasjoner eller varsler der kapteinen gir sine forhåndsinstrukser om hvordan situasjoner skal behandles, eller i hvilke situasjoner han vil vekkes. Slike situasjoner kan for eksempel oppstå når avstanden til et annet fartøy er mindre enn en viss grenseverdi, eller hvis skipet nærmer seg et navigasjonsmessig utfordrende område. Kapteinen sørger dermed for å få tid til å forberede tiltak eller å kunne reagere raskt når risikoen øker. Vissheten om at vaktlaget forstår kapteinens nattordrer og vil agere og varsle deretter, gjør at kapteinen kan sove trygt. Dette prinsippet er det samme for virksomheter, der eksempelvis internkontroll vil bidra til å skape trygghet for de ansvarlige, om det er styret eller ledelsen.

Virksomheter har ulik praksis for risikostyring, avhengig av virksomhetens kompleksitet og størrelse. Det er trolig finansiell sektor som har kommet lengst og er mest avansert i sin tilnærming til risiko, og da spesielt finansiell risiko. En bank eller et forsikringsselskap har risikostyring som en integrert del av sin forretningsmodell, og de forventes å ha gode systemer for både å sikre vekst og å redusere sannsynligheten for tap. Det siste tiåret er det utviklet avanserte modeller og detaljerte reguleringer for å kunne effektivt styre risiko. Dette er spesielt fremtredende i finansiell sektor. Allikevel har store kriser kommet i denne sektoren, med store konsekvenser. I etterkant av finanskrisen må vi spørre oss hvordan dette kunne skje.

Et perspektiv er at risikostyringen i seg selv bidro til at finanskrisen oppsto. Eksempelvis ble en samling av lån med høy risiko pakket sammen i verdipapir som ble klassifisert av ratingbyråene til å ha lavere risiko, og så solgt videre. Prosessen medførte blant annet at finansinstitusjonene og ikke minst deres kunder mistet oversikten over den fundamentale risikoen i porteføljen.

Myndighetene har gjennom regulering stilt krav til bedre risikostyring, blant annet i banknæringen. Et av regelverkene var Basel II. Hensikten med Basel II var å skape en internasjonal standard som tilsynsmyndighetene kan benytte når kapitalkravene bestemmes. Regelverket inneholder krav og forventninger til risikostyring. Basel II-reglene var ment å innføre en risikobasert tilnærming til kapitaldekning i bankene, med mål om bedre fordeling av kapital, uendret samlet kapitalnivå og bedre risikostyring. Regelverket medførte at bankene kunne låne ut mer og redusere sin egenkapital, gitt at de kunne dokumentere gode risikostyringssystemer. Regelverket hadde også en uheldig effekt ved at det virker prosyklisk. Bankene ble stimulert til meget sterk utlånsvekst i gode tider som derved bidro til en høy kredittvekst. I mer utfordrende tider og i kriser bidro regelverket til det motsatte, som igjen gjorde finansering for mange virksomheter vanskelig i tider der det var nødvendig.

Det risikostyringen ikke kunne forutse, var manglende tillit mellom bankene og til det finansielle systemet. Det var dette som var den virkelige effekten i finanskrisen. Med Basel II på plass var bankene mer sårbare.

Innføringen av Basel II var omfattende og krevde mye ressurser i bankene. Det er grunn til å spørre seg om bankene under innføringen mistet oppmerksomheten om helhetlig risiko. 11 Etter finanskrisen har vi lært at kapitaldekningen var for lav, at finansieringen i mange banker var for kort, og at både likviditets- og motpartsrisiko var dårlig dekket i regelverket. 12

I dag kjenner vi de negative konsekvensene av risikostyringen i forkant av finanskrisen. De nye baselreglene, Basel III, krever blant annet mer robuste finansinstitusjoner, økt kapital, bedre likviditet samt bedre systemer for beredskaps- og krisehåndtering.

Mange har argumentert for at sannsynligheten for en tillitskrise mellom bankene og muligheten for nedfrysing i hele det finansielle systemet var så lav at den ble neglisjert. I dag vet vi hva som skjedde. Dette kalles gjerne sorte svaner. 13 Tidligere var man sikre på at det ikke fantes sorte svaner, i dag vet vi at det gjør det. Hvorfor kunne ikke den næringen med mest avanserte systemer for risikostyring se krisen komme? Ble de blindet av systemet? Var de ansvarlige kjent med sitt ansvar? Hadde de finansielle skutene som styrte mot grunn, en kaptein som forstod risikoen? Baselkomiteens leder gir følgende svar på noen av spørsmålene i 2012:

The revelations from the ongoing financial crisis have shown us that the previous systems of control imposed within banks, as well as those prescribed by regulators, were manifestly inadequate. It is easy to see now that banks, markets and regulators allowed banks to take on too much risk: risk was underestimated and as a result risk limits were set too high. 14

Den teknologiske utviklingen er i høyeste grad gjeldende i moderne skipsfart. Det finnes i dag avanserte navigasjons- og kommunikasjonssystemer, kartsystemer og beslutningsstøtte som skal bidra til å redusere risikoen. Men systemene kan i seg selv være en trussel hvis de brukes feil, kompleksiteten blir for stor eller man ikke forstår begrensningene. System og teknologi vil aldri kunne frita kapteinen for det ansvaret han har for å føre fartøyet sikkert på havet.

I Norge er ansvaret i aksjeselskaper regulert i aksjeloven. I offentlig sektor finner vi mye tilsvarende lovgiving i eksempelvis kommunelov og helseforetakslov. Aksjelovens kapittel 6 regulerer tydelig hvilket ansvar styret har. 15 Norsk utvalg for eierstyring og selskapsledelse (NUES) sin anbefaling 10 presiserer ansvaret og hvilke tiltak det anbefales at styret gjør. 16 Tilsyn som Finanstilsynet og Helsetilsynet har gjennom egne forskrifter presisert hva som ligger i gode systemer for risikostyring og internkontroll. 17 Et godt system for oppdagelse og styring av risiko bidrar til at også styret kan sove bedre om natten. Et godt system for internkontroll er sikkerhetsnettet som gjør at uheldige hendelser ikke vil oppstå, ikke vil ha så store konsekvenser eller at man i det minste får et forvarsel om at noe kan oppstå, slik at riktige tiltak kan treffes raskt nok.

Det er viktig at styret har en klar og kommunisert oppfatning av hva som er virksomhetens risikokapasitet, det vil si hvor mye risiko den kan tåle, og sin risikovilje, som er hvor mye risiko styret er villig til å ta. Dette må være tydelig i den kontrakten styret har med administrasjonen, som vil være styrets nattordre til administrasjonen.

For å være trygg på at internkontrollen fungerer, velger mange virksomheter å ha internrevisjon. Internrevisjonen er en uavhengig, objektiv bekreftelses- og rådgivningsfunksjon. Internrevisjonen skal evaluere og forbedre effektiviteten og hensiktsmessigheten av virksomhetenes prosesser for risikostyring og internkontroll. Mange virksomheter er pålagt å ha internrevisjon, andre har sett at dette gir stor verdi, og har valgt å etablere dette fordi det gir en ekstra trygghet hos styret for at internkontrollen fungerer som den er tenkt. God styring og kontroll er viktig for å kunne manøvrere skuter og virksomheter i usikkert farvann.

Oslo tingretts signaler i korrupsjonsdommen 18 mot fire tidligere direktører i Yara er veldig klare. Dommen er ikke rettskraftig, men den viser at ledelsen har et stort ansvar for risikostyring. I dommen pekes det på at det ikke er tilfredsstillende for en leder å ikke kjenne til hva som skjedde, når han hadde informasjon nok til at han burde ha skaffet seg den kunnskapen. Det nytter ikke å bare etablere compliance-systemer eller å organisere seg bort fra kunnskap om hva som faktisk skjer i egen virksomhet. Det forventes at de ansvarlige også skal treffe tiltak for at hele organisasjonen skal både bruke og etterleve systemet. Det betyr at ledelsessignalene, tonen fra toppen, må gjennomsyre virksomheten, og at det tas grep for at virksomhetens etikk blir en del av alle små og store beslutninger som tas hver dag. Risikostyring handler om ansvarsforståelse, og ansvaret handler om å etablere helhetlige systemer og en klar styringsstruktur som gjør virksomheten i stand til agere på det ukjente. På samme måte som sjøfarende har gjort i århundrer før oss.

  • 10: Ref. Peter L. Bernstein (1996). Against the gods – The remarkable story of risk. John Wiley & Sons.
  • 11: Finanstilsynet har blant annet påpekt dette, jf. http://www.finanstilsynet.no/Global/Venstremeny/Foredrag_vedlegg/2013/Prognosesenteret_2013_Det_norske_finansmarkedet_Steffensen.pdf
  • 12: ibid.
  • 13: Dette er et begrep som først ble beskrevet av Nassim Nicholas Taleb (2007). The Black Swan: The Impact of the Highly Improbable. Random House.
  • 14: Regulatory reforms – incentives matter (can we make bankers more like pilots?) Innlegg fra Wayne Byres, generalsekretær i Basel Committee on Banking Supervision, under Bank of Portugal konferanse «Global Risk Management: Governance and Control» i Lisboa 24. oktober 2012. http://www.bis.org/speeches/sp121024.pdf
  • 15: Lov om aksjeselskap (Aksjeloven) § 6–12, 6–13, 6–14
  • 16: Norsk utvalg for eierstyring og selskapsledelse – Anbefaling 10 Risikostyring og intern kontroll.
  • 17: Eks. Finansdepartementet: FOR-2008–09–22–1080 Forskrift om risikostyring og internkontroll. Helse og omsorgsdepartementet: FOR-2002–12–20–1731 Forskrift om internkontroll i helse- og omsorgstjenesten.
  • 18: Oslo tingrett TOSLO-2014–22670 (14–022670MED-OTIR/05). Anket til Borgarting lagmannsrett fremmet, jf. beslutning LB-2014–138815.

© Econas Informasjonsservice AS, Rosenkrantz' gate 22 Postboks 1869 Vika N-0124 OSLO
E-post: post@econa.no.  Telefon: 22 82 80 00.  Org. nr 937 747 187. ISSN 1500-0788.

RSS