Varför har risk blivit så stort och vad kan vi tjäna på att hantera riskerna?

Den globala finanskrisen och nationella händelser som Carnegie- och HQ-kollapsen har placerat riskhantering högst upp på den finansiella agendan. Som vanligt gäller: Inget ont som inte har något gott med sig. Även risk har en ”uppsida”.

Många har hört det förr, men det tål att upprepas: Den nya informationsteknologin har ökat takten i globaliseringen och drivit fram allt mer komplexa affärsmodeller. Samtidigt har kunder och andra intressenter i det omgivande samhället fått tillgång till nya nätverk och kanaler för allt snabbare informationsspridning. Förutsättningarna att lyckas är kanske större än någonsin. Men också de risker som följer av ett misslyckande.

– De negativa effekterna av bristen på riskhantering kan snabbt bli väldigt stora i dag, säger Olof Arwinge, som delar sin tid mellan Grant Thorntons kontor i Stockholm och universitetet i Uppsala.

Tillsammans med kollegan Tomas Munkby på Grant Thornton, gjorde Olof Arwinge i början av året en genomgång av Finansinspektionens beslut avseende brister i intern kontroll under perioden 1999–2009. Resultatet visar en dramatisk ökning de senaste åren: Från att ha legat i storleksordningen 0–20 anmärkningar per år under större delen av perioden, rakar anmärkningarna för 2008 och 2009 i höjden med toppnoteringar i storleksordningen 60–80 per år.

– Det beror nog inte på att bolagen blivit mycket sämre, utan är snarare ett resultat av ökad tillsynsaktivitet, säger Olof Arwinge.

Hälften av anmärkningarna gäller kontroller av mer företagsövergripande karaktär, som compliance, riskhantering, styrelse och förvaltning eller internrevision. Den andra hälften rör brister av mer specifik processrelaterad karaktär, till exempel hantering av penningtvätt, rådgivning, krediter, intressekonflikter eller kundrelationer – områden där det även finns ett starkt allmänintresse och därmed överhängande ”ryktesrisk”.

Globalt uppmärksammade – och återkommande – företagsskandaler är en viktig drivkraft bakom det växande intresset för intern kontroll och riskhantering. Men Olof Arwinge menar att även andra faktorer påverkar utvecklingen, såsom förändringar i aktieägarmönster.

– Vi ser mer av institutionellt aktieägande vilket möjligen skapar ett större avstånd mellan ägare och tjänstemän. Det i sin tur medför ett behov av fler mekanismer för att säkerställa en effektiv ägar- och bolagsstyrning och kontroll inom bolaget.

De dramatiska händelserna i HQ Bank i slutet av sommaren har gett ytterligare bränsle åt diskussionen om risk. Tillsynsmyndigheternas intresse har knappast minskat och detsamma gäller media, kunder, och inte minst politiker. För varje gång företagen misslyckas med att leva upp till sina åtaganden, skapas ett utrymme för politiker att föreslå regleringar.

– Själv är jag tveksam till allt för strikta krav och regelverk, som riskerar att göra mer skada än nytta. Jag tror att det är viktigt att Sverige bibehåller en principbaserad hållning i utformningen av eventuell lagstiftning och andra regelverk kring dessa frågor, säger Olof Arwinge.

Riskhantering handlar om att bryta ner osäkerhet till greppbara risker. ”Hårda” finansiella risker är bekanta och kan ibland vara lättare att hantera än ”mjuka” risker såsom operationella eller strategiska risker. Men i takt med att företagen blir mer komplexa och mer påpassade av kunder och medier blir de mjuka riskerna allt viktigare. Detta medför att riskhantering är en god investering. Och alla de funktioner som på olika sätt är inblandade i företagens riskhantering torde ha framtiden för sig.

Olof Arwinge har arbetat med intern kontroll och riskhantering sedan början av 2000-talet och har upplevt hur intresset för hans forskningsområde formligen exploderat. Hans bedömning är att även revisorer och rådgivare kommer att få mer att göra i takt med att riskfrågorna fortsätter att vara i fokus. I USA gör revisorn redan en separat revision av den interna kontrollen kopplat till finansiell rapportering. Kanske är det bara en tidsfråga innan något liknande sker i Sverige.

– Oaktat om revisorns uppdrag kommer att förändras finns det enligt min mening anledning att tro att de här frågorna blir än viktigare framgent. I takt med att komplexiteten ökar ställs ytterligare krav på revisorns förståelse av hur bolagets verksamhet och väsentliga risker kan påverka kvaliteten i finansiell rapportering, säger Olof Arwinge.

Företagen ägnar sig åt risk för att slippa onödiga förluster, böter och dåligt rykte, men riskhantering innebär främst möjligheter att ta tillvara de positiva affärsmöjligheterna.

– Uppsidan av risk är att man kan göra bättre och mer avvägda bedömningar beträffande hur mycket risk man tål och vill ta. Genom att göra mer genomtänkta bedömningar kan man maximera affärsnyttan samtidigt som man inte går utanför de gränser man satt upp för sin verksamhet, säger Olof Arwinge.

Rakel Lennartsson

Vanliga Brister

  • Inga eller otillräckliga policyer.

  • Funktionen för riskkontroll saknas eller är inte tillräckligt oberoende.

  • Bristande rutiner för att identifiera och rapportera brister.

  • Oklar eller ingen riskrapportering.

Tips

Undvik statiska processer som riskerar att bli nedtyngda av dokumentation och formalia. Satsa i stället på dynamiska processer och snabb återkoppling till styrelse och ledning för diskussion och beslut. Se till att olika kontrollsystem och funktioner för riskhantering samordnas på ett effektivt sätt.

Var särskilt noggrann med informationshantering och risker kopplade till denna.