Finanskrisen och den senaste tidens bonusdebatt har satt riskhantering i fokus. Och god riskhantering är nödvändig i alla stora företag, inte bara i finanssektorn. I denna artikel går Torbjörn Wikland och Nils Lindholm igenom vad internrevisorer, externrevisorer, controllers och ekonomiska rådgivare bör känna till om god riskhantering.

Risk är ett vardagligt ord som låter förledande enkelt. Riskhantering i vardagen är något som människan alltid ägnat sig åt. Men nyhetsflödet det senaste året visar att det som ser enkelt ut i efterhand är betydligt svårare att se och förebygga, i alla fall i större och mer komplexa organisationer. Avveckling av kortsiktiga bonusprogram, ökad transparens i lånekonstruktioner respektive krav på bättre kapitaltäckning genomförs plötsligt därför att väsentlig riskhantering inte ägt rum. I kölvattnet av finanskrisen ställs därför större krav på finans sektorn att etablera och visa upp en god riskhantering i sin verksamhet. Den tidvis heta debatten om bland annat bonusprogram avspeglar emellertid bara en del av riskhanteringens viktiga frågor. Också den löpande verksamheten måste genomsyras av en god riskhantering, inte bara i finans sektorn utan inom hela näringslivet och den offentliga sektorn. Det är därför angeläget för externrevisorer, internrevisorer, controllers och ekonomiska rådgivare att ha en klar bild av vad som kännetecknar god riskhantering.

Osäkerhet om att målen för verksamheten uppfylls är utgångspunkten

Risk knyter an till tänkbara händelser som påverkar möjligheterna att nå målen. För att kunna precisera risken måste därför målen vara väl kända. Både privata och offentliga organisationer präglas ofta av verksamhetens komplexitet och förändringar för verksamhetens förutsättningar. Till detta kommer ett beroende av många intressenter och ibland även väldiga volymer och internationella förgreningar. Företagsledningen måste kunna svara på om uppsatta mål är realistiska, om utfallet går att prognostisera och om träffsäkerheten går att förbättra. Osäkerheten om förverkligandet av verksamhetens mål är riskhanteringens utgångspunkt.

I riskanalysen: Identifiera de omständigheter som påverkar målen

Idealiskt vore att komma åt alla de faktorer och händelser som påverkar hur väl man uppnår målen, men det är strävan dit som får utgöra vår bedömningsgrund. Det brukar ge god utdelning. Att identifiera icke önskade händelser och lägen som hindrar företaget eller organisationen att uppnå sina mål är en naturlig startpunkt. Till det kan man lägga önskade händelser och lägen för att lyckas med djärva mål, förutsatt att man är beredd att satsa. Den senare aspekten kräver extra eftertanke, som vi återkommer till.

Sannolikhet och konsekvens bildar risken

Att ta fram alla de händelser och lägen som påverkar hur målen kan uppfyllas, är i praktiken omöjligt och onödigt. Genom att föra in risk kan man börja sortera fram de viktigaste händelserna och lägena. Den samlade bilden av händelsens sannolikhet och konsekvens utgör risken. Ofta är det klokt att tala om händelsekategorier, till exempel brand, stora avvikelser i efterfrågan och stopp i leveranser snarare än att mer exakt definiera händelser, eftersom varje händelse är unik, åtminstone i detaljerna. Det avgörande är att få fram de viktigaste riskerna utifrån bedömd sannolikhet och konsekvens. Begränsade resurser för att reducera eller eliminera riskerna måste ju användas där de gör mest nytta.

Risk eller möjlighet?

Ofta uppfattas risk enbart som något negativt. Även Svenska Akademien säger i sin ordbok att risk är en ”möjlighet att något icke önskvärt skall inträffa”. I affärsverksamhet kan dock risk innebära att våga ta risken för att lyckas med en ny produkt, ta marknadsandelar eller vinna andra fördelar. Det brukar kallas affärsrisk, positiv risk, möjligheter eller rentav att chansa. I praktiken är det oftast strategiska frågor som det fattas beslut om högre upp i företaget. Då blir vanligtvis frågan: Hur mycket risk tål företaget?

Ibland betyder risk att utfallet är osäkert åt båda hållen. Antingen når man inte målet eller så överträffas målet. I projekt för ny utveckling av produkter eller nya marknadsföringsinsatser kan omvärldsfaktorerna vara gynnsamma eller ogynnsamma. Nya oprövade idéer kan antingen vara mycket framgångsrika eller återvändsgränder. Då kan risk och möjlighet, eller positiv och negativ risk, behöva behandlas tillsammans i en utförlig riskanalys av projektet i positiv och negativ riktning.

I många fall behöver man ägna en extra tanke åt helt okända eller ”bortrationaliserade” risker. Då är tipset att försöka tänka ”outside the box” och resonera igenom riskerna med eftertanke, söka referenser, gärna kryddat med ”brainstorming” för att minska möjligheten att man ”tappar bort” viktiga aspekter. Sedan avslutar man – för säkerhets skull – med att, precis som i beredskapssamanhang, ställa frågan: Hur mycket tål företaget?

Hela verksamheten måste granskas

Oönskade händelser och lägen kan skapas överallt. Därför måste riskhantering sammanföra själva ledningsarbetet i företaget med traditionellt säkerhetsarbete såsom övervakning, säkra avbrottsfria basfunktioner, teknisk provverksamhet med mera, med allt som rör produktion, lager, försäljning, forskning, administration och så vidare. En del av ”de gamla” riskerna kan räknas fram baserat på statistik och professionell yrkeskunskap medan andra måste diskuteras fram utifrån specifik kännedom om verksamheten, erfarenhet och allmän klokskap. Till arbetet hör även att bedöma riskerna i ett helhetsperspektiv eftersom olika delar av företaget ofta hänger intimt samman. Detta är grunden i Enterprise risk management (ERM eller företagsövergripande riskhantering). Att ha både intäkter och kostnader i verksamheten är en fördel eftersom riskerna kan kläs i ekonomiska termer. Här har den offentliga verksamheten det lite svårare.

Riskhantering för god intern styrning och kontroll

Det finns risker som kan hanteras med engångsåtgärder. Det vanliga är dock att de oönskade händelserna återkommer om inte åtgärderna ”byggs in” i den ordinarie verksamheten. Det gäller allt från brand, bokföringsbrott till produktionsstörningar och misslyckade marknadssatsningar. Den interna styrningen och kontrollen förbättras med en sådan integrerad riskhantering. Riskhanteringen kan ta många former. Risken kan undvikas genom ändrad strategi eller genom att överge den riskfyllda verksamhetsdelen, vissa risker kan försäkras eller avtalas bort. Det vanligaste är att risken reduceras genom åtgärder, men åtgärderna har alltid ett pris. Nytta måste vägas mot kostnader. Vissa risker måste man acceptera, om man vill fortsätta att bedriva verksamheten. Det är dock alltid en fördel att på något sätt analysera alla kända risker, även om man för stunden inte kan göra något åt dem eller att man just nu uppfattar risken som marginell.

Riskhantering och organisation

Att stora organisationer ofta är komplexa är i sig en svaghet ur risksynpunkt. Riskhanteringen måste därför alltid kopplas till ansvar och befogenheter. Alla enheter och medarbetare måste veta om man är ansvarig eller ej för viss typ av risk och därmed riskhantering. Om ansvaret för en viss fråga är centraliserat blir även riskhanteringen centraliserad. I de flesta större företag är till exempel treasuryfunktionen centraliserad vilket betyder att även riskhanteringen blir centraliserad. Det är samtidigt en stor fördel för riskhanteringen om det finns en anda i företaget som uppmuntrar till ansvarstagande utanför den egna resultatenheten och för hela företaget så att inte problem ”faller mellan stolarna”.

Företagsövergripande riskhantering (ERM)

I många fall samverkar och motverkar risker varandra inom olika enheter i ett större företag eller i en organisation. Det kan exempelvis gälla olika enheter inom ett företag som handlar med varandra, där enheterna upplever en risk som i slutändan utjämnas på koncernnivå. Den enskilda enheten har inte hela bilden. Även om ansvaret för riskhanteringen är decentraliserat, bör i sådana fall en informationsstruktur skapas för att kunna summera all risk och riskhantering inom koncernen. Ett sådant ”nerifrån och upp” och ”uppifrån och ner” perspektiv är nyckeln till god ERM.

För några år sedan gjordes en studie av större svenska och utländska företag som infört ERM-system. Gemensamt för dessa var att det fanns en utlösande faktor, som införandet av lagstiftning på området eller att något stort problem oväntat dykt upp inom företaget vilket gjorde ledningen uppmärksam på att risker fanns men inte hanterades. Några faktorer, viktiga för ett lyckat projekt, som kom fram i studien var följande:

  • ERM måste vara integrerat med företagets affärsprocesser, till exempel med strategiprocessen.

  • Företagsledningen måste stödja systemet och använda sig av det. Det räcker inte att enbart styrelsen vill ha det.

  • Alla riskhanterande nivåer inom företaget bidrar, enligt den beslutade ansvarsfördelningen.

  • Det måste finnas en sammanhållande enhet, som ser till att processen struktureras.

Regelstyrning är inte tillräckligt

Även om ett antal riskhanteringssystem införts som svar på regelverk kan man konstatera att en fullständig efterlevnad av alla regler inte alltid ger god riskhantering. Det finns exempel på detta från den pågående finanskrisen. Det är endast företagets eller organisationens ledning som till fullo förmår förstå och hantera en komplex verksamhet, och därmed bedriva en verkningsfull riskhantering. Förutsättningen är givetvis att ledningen önskar göra detta. En ansvarsfull ledning bör därför göra sin egen bedömning av risk, riskhantering och existerande regelverk. Då klargörs också företagets riskaptit, det vill säga dess accepterade risknivå.

Därmed berör vi ett viktigt men svårhanterligt område inom riskhanteringen. Risken för att varningssignaler från verksamheten filtreras bort och upptäcks för sent är stor om inte ledningen omger sig med medarbetare som för fram annorlunda eller kritiska synpunkter eller om miljön runt de högsta cheferna inte präglas av att det är ”högt i tak”. En god revisor, controller eller rådgivare får inte underlåta att påtala sådana brister.

Vad ger en god riskhantering?

Vår beskrivning av området risker och riskhantering för stora organisationer syftar också till att lyfta fram nyttan med god riskhantering. Den kan enkelt sammanfattas som att den räddhågsne utan god riskhantering inte tar till vara, utan missar möjligheter till en framgångsrik verksamhet. Den våghalsige däremot tar inte hänsyn till resultaten av en god riskhantering utan går utanför ramarna för företagets riskaptit och vad verksamheten tål och kanske äventyrar dess existens. En god riskhantering kan därför liknas vid en kompass som styr företaget förbi den våghalsiges Skylla och den räddhågsnes Karybdis (se illustration nedan).

Balans_2010_67_s33.jpg

Nils Lindholm är chef för internrevisionen på SCA.

Torbjörn Wikland är ämnesråd på regeringskansliet och före detta ordförande i Internrevisorernas Förening (nuvarande IIA Sweden).