Vad innefattas praktiskt sett i begreppet riskanalys? Vilka områden skall riskanalysen avse?

REVISIONSKOMMITTÉNS BESKRIVNING

På senare år har förvaltningsrevisionen fått ökande uppmärksamhet och revisionskommittén inom FAR har arbetat med dessa problem för att föreningen skall kunna lämna en rekommendation i ämnet.

I BALANS nr 4 och 5/1978 återges revisionskommitténs beskrivning av granskningens inriktning och omfattning. Kommitténs dåvarande ordförande Bertil Edlund ger även en presentation av beskrivningen.

Ur den beskrivning som lämnats vill jag bl a ta fram följande, som berör riskanalysen:

Förvaltningsrevisionen berör följande granskningsområden, nämligen

  1. Överträdelser av aktiebolagslagen och bolagsordningen

  2. Enskilda väsentliga förvaltningsåtgärder

  3. Företagsledningens planering och kontroll

  4. Riskanalys

Riskanalysen är en sammanfattande benämning på en revisionsmetod, som har betydelse för såväl förvaltningsrevisionen som bokslutsgranskningen och granskningen av den interna kontrollen.

Behovet att analysera företagens risksituation har ökat väsentligt, bl a genom att hoten mot företagens fortbestånd och planmässiga utveckling blivit allvarligare, t ex genom kostnadsfördyringar orsakade av t ex inflation och indirekta löneskatter, ökande konkurrens från in- och utländska företag, ökande svårigheter att finansiera verksamheten etc.

Det är därför viktigt att vid revisionen beakta om redovisningen och rapporterna till företagsledningen innefattar lämpliga indikationer på en ogynnsam utveckling av olika riskfaktorer, såsom likviditet, orderingång och kassation, och om dessa instrument används för att vidtaga åtgärder.

Revisionskommittén anser vidare att riskanalysen normalt inte innefattar ett mera omfattande utrednings- eller analysarbete och nämner följande granskningsmoment:

  • Identifiera och analysera företagets risksituation

  • Följ periodiskt utvecklingen av olika faktorer

  • Granska företagsledningens handlande och planer

Vid den hearing, som FAR och Svenska Civilekonomföreningen ordnade i höstas om ”Revisorns roll i framtiden”, gällde ett av de första debattavsnitten vad en riskanalys leder till. Även senare och i andra sammanhang hänvisades flera gånger till att i revisionen ingår riskanalys.

RISK MANAGEMENT

På ett annat område möter vi även ordet riskanalys, nämligen inom ett relativt nytt begrepp, risk management (RM).

Det har t o m lett till att Försäkringsbolaget

Skandia liksom Trygg-Hansa bildat särskilda dotterbolag härför. Ur några av de broschyrer, som jag tagit del av, framgår att risk management kan sägas bestå av tre delar:

Riskanalys

Identifiering av skaderisker

Värdering av omfattning och frekvens

Prioritering

Riskbehandling

Åtgärder för att eliminera eller reducera skaderisker och begränsa skador

Undersöka möjligheterna att överföra risker

Riskfinansiering

Analys av skadestatistik som underlag för prognoser

Lämplig självrisknivå

Metoder att finansiera kvarstående skaderisker

Försäkring

För att visa exempel på ett företags riskmiljö och skyddsresurser har gjorts en s k RM-Cirkel. Den har delat upp riskerna i personskador, skadeståndskrav, följdskador (t ex avbrott), kriminella handlingar och objektskador.

Ansvaret för företagsskyddet ligger på olika personer i organisationen. Så t ex har en produktionschef bl a ansvaret för att arbetsinstruktioner finns, så att olycksfall förhindras. En säkerhetschef ansvarar för tillträdes- och sekretesskydd så att inbrott, rån, dataintrång, sabotage och industrispionage etc förhindras. Andra ansvariga är t ex personalchefen, ekonomichefen, juristen och transportchefen. Alla dessa ansvariga har att hålla kontakt med en samordnare, som internationellt kallas ”Risk Manager”.

RISKANALYS – OLIKA BETYDELSER

Såvitt jag förstår avser vi revisorer med ordet riskanalys ett betydligt vidare område än vad försäkringsbolagen avser. Det är därför inte till någondera partens fördel om ordet får olika innebörd. Jag är dock icke beredd att nu ge förslag till något annat ord.

CHECKLISTA – FÖRSLAG TILL INNEHÅLL

Med den pågående ökningen av riskerna för företagen är det viktigt att även området med riskanalyser aktualiserats.

Ordet riskanalys har icke tidigare varit särskilt ofta använt, men dess problemställningar har diskuterats många gånger med våra kunder. I allmänhet sker det nog mer i en rådgivande situation än i direkt samband med revisionen, ehuru den information om företaget, som erhålls vid revisionen, är en väsentlig förutsättning för att också kunna diskutera riskerna och lämna synpunkter på åtgärder.

Det är alltid mycket lättare att diskutera olika problem från principiell synpunkt än att överföra dem i det dagliga arbetet och hantera dem på ett jordnära sätt. Den principiella diskussionen behövs som en grund för det praktiska arbetet, och i det avseendet värdesätter jag mycket den analys som revisionskommittén gjort.

Jag hade dock väntat, att genom revisionskommitténs försorg någon form av checklista skulle tas fram, t ex liknande frågeformulären om intern kontroll. En sådan lista skulle underlätta för oss att vid revisionerna även beakta dessa problem och därmed förbättra de tjänster vi kan ge våra kunder.

Det är i avsikt att initiera ett sådant arbete som jag ställt samman en del områden och frågor, som enligt min mening ett frågeformulär bör täcka.

  1. Marknad, produkter, kunder etc

    • försäljningsstatistik och hur är den upplagd?

    • Täcker den behovet?

    • Känner man till hur marknaden utvecklas och hur konkurrenterna arbetar? Gör man löpande fack- och yrkesmässiga marknadsundersökningar – på kort sikt – på lång sikt? Bevakas konkurrenterna? Marknadsandelar – regionalt? – internationellt?

    • Är produkterna särpräglade eller är de lätta att kopiera? Görs löpande fackmässiga undersökningar av teknikens utveckling hemma – i utlandet?

    • Är produkterna konjunktur- eller säsongkänsliga?

    • Vet man lönsamheten för olika produkter och marknader?

    • Har företaget ett fåtal eller många kunder?

    • Är lagrets storlek lämplig?

    • Hur bedöms kreditrisker och hur sätts kreditlimiterna?

  2. Inköp, lager, tillverkning etc

    • Bedöms leverantörerna löpande i avseende på t ex leveranstider, kvalitet, priser etc samt finns alternativa leverantörer?

    • Finns lagerkontroll?

    • Är lokalerna lämpliga för lager och tillverkning?

    • Investeras tillräckligt i produktutveckling?

    • Är maskinparken ändamålsenlig? Förs respektive följs statistik upp över kapacitetsutnyttjande av dyrare installationer?

    • Är företaget beroende av en eller ett fåtal leverantörer?

  3. Administration, personal etc

    • Samlas uppgifter om orderingång, produktion, inköp, personalomsättning, frånvaroorsaker etc?

    • Informeras chefen om vad som händer i företaget?

    • Är personalsammansättningen lämplig med hänsyn till kunskaper, ålder, företagets förväntade utveckling etc?

    • Hur är andan inom företaget?

    • Hur är vidareutbildningen ordnad?

  4. Ekonomiska rapporter

    • Hur ofta tas kortperiodiska rapporter fram?

    • Hur pass säkra är de?

    • Upprättas resultat- och likviditetsbudgets?

    • För vilken tid?

    • Är den ekonomiska redovisningen utformad på lämpligt sätt?

    • Vilka får del av rapporterna?

    • Görs medelsanalyser enligt Boris Carlssons idé?

  5. Styrelse, företagsledning etc

    • Är styrelsearbetet effektivt?

    • Förses styrelsemedlemmarna med information och dokumentation i alla dagordningsfrågor i god tid före styrelsesammanträdena?

    • Är företaget beroende av en eller ett fåtal personer?

    • Finns planering för om någon viktig person blir långvarigt sjuk eller slutar?

    • Finns en fastställd politik för företaget och hur utarbetas den? På kort sikt? På lång sikt?

    • Har företagsledningen löpande goda kontakter med styrelsen, bank, försäkringsbolag, advokat, branschorganisationer, revisor etc?

  6. Avtal, patent etc

    • Har företaget sökt skydda sig genom olika avtal, t ex för agenturer för inköp, återförsäljare, personal, lokaler etc?

    • Har företaget skyddat sina produkter genom patent eller dylikt?

  7. Försäkringsskydd

    • Granskas försäkringsskyddet periodiskt?

    • Har företaget övervägt att utnyttja försäkringsbolagens riskmanagementspecialister?

  8. Andra skyddsåtgärder

    • Har specialister hos Securitas, Automatic Alarm eller andra bevakningsföretag tillfrågats för att bedöma t ex

      hur personalen kommer och går

      hur kunder och besökare kommer och går

      hur låssystemet är utformat

      hur passerkontroller är utformade och hur ev stickprov utföres

      hur driftslarm är upplagt

      hur överfallsskyddet fungerar

      hur företaget undviker att viktiga dokument eller kopior av dem kommer i orätta händer

      att bevakningen har lämplig omfattning med hänsyn till olika värden och risker?

  9. Utvärdering

    På alla ovanstående punkter gäller det inte bara att få en beskrivning och dokumentation utan även en utvärdering av varje funktion.

Ovanstående förteckning är naturligtvis inte avsedd att på något sätt vara uttömmande. Många ytterligare synpunkter och frågeställningar finns att överväga. Jag önskar avslutningsvis endast peka på två bra källor, nämligen Lars Erik Bergstrands bok om styrelsearbete och Svenska Arbetsgivareföreningens ”Se om Ditt företag” och dess checklistor.

Bertil Jonsson, auktoriserad revisor, Tönnerviksgruppen AB