När orsakerna till de senaste ekonomiska kriserna diskuteras, kommer frågor om företagens riskarbete ofta på tal. Hade problemen kunnat undvikas med en mer alert och aktiv övervakning av de egna riskerna? Vilka initiativ och vilken styrning krävs av bolagens styrelser för att en god riskhantering ska kunna uppnås? För aktiemarknadsbolagen finns i och med en utförligare definierad bolagsstyrning ytterligare lagkrav på styrelsen och dess revisionsutskott. I denna artikel diskuterar Anders Hult och Carl Svernlöv hur styrelserna i aktiemarknadsbolag bör arbeta med riskhantering och hur detta arbete påverkar ledamöternas ansvar.
ABL – aktiebolagslagen
ÅRL – årsredovisningslagen
COSO – The Committee of Sponsoring Organizations
of the Treadway Commission
ISO – International Organization for Standardization
ERM – Enterprise Risk Management
Styrelsen i ett aktiebolag har enligt 8 kap. 4 § aktiebolagslagen (2005:551) (ABL) ett övergripande ansvar för bolagets organisation och förvaltningen av dess angelägenheter. Om bolaget är moderbolag i en koncern ska styrelsen fortlöpande bedöma bolagets och koncernens ekonomiska situation. Bland styrelsens uppgifter ingår vidare enligt 8 kap. 4 § ABL att se till att bolagets organisation är utformad så att bokföringen, medelsförvaltningen och bolagets ekonomiska förhållanden i övrigt kontrolleras på ett betryggande sätt. Av denna bestämmelse följer en plikt för styrelsen att skapa ett system för intern kontroll och riskhantering inom företaget.
Styrelsen måste därför se till att det finns ett underlag för att besluta om den interna kontrollens utformning och styrka. Intern kontroll syftar till att förebygga och eliminera eller reducera risker som innebär ett hot mot de uppsatta målen i verksamheten. Den interna kontrollen måste alltså vara heltäckande. När det gäller ansvaret för att den finansiella rapporteringen är riktig, behövs ett mätinstrument som visar vilka aktiviteter i redovisningsprocesser och bokslutsprocessen som är förenade med störst risker eller som hanterar de största transaktionsvolymerna. Här genomför bolaget riskanalyser med sikte på att finna potentiella hinder för att uppnå en finansiell rapportering som är riktig. De lagregler som tillkom i samband med uppdateringarna av ABL och årsredovisningslagen (ÅRL) för tre år sedan, om revisionsutskott och bolagsstyrningsrapportering, har mycket starkt fokus på den finansiella rapporteringen. Det betyder dock inte att styrelsens ansvar för övriga delar av riskhantering och intern kontroll har tonats ner. Dessa ska inte beskrivas i bolagsstyrningsrapporten men det finns fortfarande ett lika stort ansvar för att genomföra arbetet med dessa delar.
Det system för intern kontroll och riskhantering som styrelsen har att skapa enligt 8 kap. 4 § ABL måste ge rimlig säkerhet exempelvis när det gäller att förebygga eller i tid upptäcka icke godkända köp eller obehörig användning av bolagets tillgångar som kan ha väsentlig påverkan på bolagets finansiella rapporter. Förebyggande av oegentligheter är en väsentlig fråga i samband med etablering och underhåll av en väl fungerande riskhantering och intern kontroll i samband med finansiell rapportering. Ett sådant system behöver även beakta att det finns inneboende begränsningar i intern kontroll som kan hänföras till exempelvis mänskliga fel, bedrägerier och medvetna avsteg från beslutade kontroller.
Ett särskilt ansvar för just riskhanteringsfrågor i aktiemarknadsbolag ligger på revisionsutskottet. Arbetet i revisionsutskottet är inriktat på att försäkra styrelsen i ett aktiebolag om att den finansiella rapporteringen som bolaget upprättar och avger, är riktig. Egentligen är det i kraven på revisionsutskottet tämligen lite fokus just på revision. Enligt 8 kap. 49 b § ABL ska revisionsutskottet bland annat ägna sig åt effektiviteten i bolagets riskhantering och interna kontroll med avseende på finansiell rapportering och internrevision. Vad som avses med effektivitet i sammanhanget är inte helt tydligt. Dock måste man ändå kunna anse att effektivitet rimligen betyder att processer för intern kontroll, internrevision och riskhantering fungerar väl. Det räcker alltså inte att säga att de är etablerade. Revisionsutskottet måste kunna visa att arbetet är aktivt, känt i organisationen och följer erkända ramverk. Revisionsutskottet behöver sätta sig in i regler och riktlinjer samt därutöver ta ansvar för att den finansiella rapporteringen är riktig och ändamålsenlig. Det kan vara besvärligt för revisionsutskottet att bevaka alla dessa frågor där man dessutom ansvarar för en korrekt tillämpning av IFRS. Dessa nya och komplicerade redovisningsregler har krävt mycket energi och möda från revisionsutskotten och styrelserna. Det är utom allt tvivel att kraven på kunskap vad det gäller IFRS är mycket höga. Det kan till och med påstås att det är orimligt för den vanlige styrelseledamoten att vara väl insatt i detta område. Ändå är det revisionsutskottets uppgift att se till att kontrollfunktioner för detta kommer på plats och är effektiva.
Enligt 6 kap. 6 § ÅRL ska bolagets bolagsstyrningsrapport beskriva de viktigaste inslagen i bolagets system för intern kontroll och riskhantering i samband med den finansiella rapporteringen. Det handlar om att beskriva riskhanteringsarbetet med särskilt fokus på de riskanalyser och riskutvärderingar som görs för att vara underlag till en ändamålsenlig intern kontroll över den finansiella rapporteringen. Det bör i rapporten särskilt redogöras för styrelsens och revisionsutskottets styrning av detta arbete. I sammanhanget måste man komma ihåg att riskbedömningar görs även avseende frågor som rör en ändamålsenlig och effektiv verksamhet samt frågan om efterlevnad av tillämpliga lagar och förordningar. Det är dock enbart den delen av riskhanteringen som avser finansiell rapportering som ska beskrivas i bolagsstyrningsrapporten. Riskbedömningen resulterar i så kallade kontrollmål som beskriver kraven på att finansiell rapportering inte ska innehålla väsentliga fel. Ett viktigt kriterium här, är så kallade räkenskapspåståenden (assertions). Beroende på vilken post i en finansiell rapport det gäller, kommer olika räkenskapspåståenden att vara tillämpliga. Några exempel på räkenskapspåståenden kan vara följande; existens, periodisering, fullständighet, värdering, rättigheter och förpliktelser samt presentation och upplysning. Riskbedömningen bör uppdateras regelbundet för att omfatta förändringar som väsentligen påverkar den interna kontrollen.
Anmärkningsvärt att Koden saknar bestämmelser om riskstyrning
Med hänsyn till de ganska knapphändiga regler som ges i lagen är det enligt vår uppfattning anmärkningsvärt att Svensk kod för bolagsstyrning helt saknar bestämmelser om riskstyrning. Bristen har påpekats bland annat i remissvar till 2010 års kod men har hittills inte lett till någon ändring av Koden. Som en jämförelse kan anföras de ganska detaljerade bestämmelser som ges i kodens danska motsvarighet, Anbefalinger for god Selskabsledelse (augusti 2011). Enligt ingressen till kap. 9 i den danska koden bidrar effektiv riskstyrning och ett effektivt internt kontrollsystem till att minska strategiska och affärsmässiga risker, till att säkra att gällande regler och föreskrifter följs, samt till att säkra kvalitén på underlaget till ledningens beslut och den finansiella rapporteringen. Det anges vidare att bolagets strategival givetvis medför risk, och att det är väsentligt att dessa risker identifieras och kommuniceras, samt att riskerna hanteras på ett ändamålsenligt sätt. Effektiv riskstyrning och intern kontroll anges vidare vara en förutsättning för att det högsta ledningsorganet samt direktionen på ett ändamålsenligt sätt kan utföra de uppgifter som åvilar dem, samt att det därför är väsentligt att det högsta ledningsorganet tillser att det finns effektiv riskstyrning och intern kontroll. Mot denna bakgrund anger den danska koden i regel 8.1 att styrelsen minst en gång per år ska identifiera de viktigaste affärsmässiga riskerna som är förknippade med genomförandet av bolagets strategi och överordnade mål, samt risker i förbindelse med årsredovisningen. Det krävs vidare att bolagsledningen löpande rapporterar till styrelsen om utvecklingen inom de viktigaste riskområdena samt eventuella överträdelser av beslutade riktlinjer, ramar och så vidare så att styrelsen ska kunna följa utvecklingen och fatta nödvändiga beslut. Enligt regel 8.2 ska styrelsen införa en whistleblower-ordning för att skapa en möjlighet till ändamålsenlig rapportering och konfidentiell rapportering av allvarligare förseelser eller misstankar om sådana. Slutligen anges i regel 8.3 att bolaget i förvaltningsberättelsen ska lämna information om bolagets riskstyrning med avseende på affärsmässiga risker. Denna upplysning kompletterar den lagstadgade redogörelsen om verksamhetens interna kontroll och riskhanteringssystem vad gäller den finansiella rapporteringen. Enligt vår mening bör liknande regler övervägas i Svensk kod för bolagsstyrning.
EU-kommissionens syn på riskhantering
5 april 2011 kom Europeiska kommissionens grönbok ”En EU-ram för bolagsstyrning COM(2011) 164”. En grönbok är ett diskussionsdokument som kommissionen sammanställer inför ny lagstiftning. Det ger olika instanser och personer tillfälle att inkomma med åsikter inom området. Syftet är att berörda parter ska rådfrågas innan lagstiftningsarbetet kommer igång. Vi har i ett tidigare nummer av Balans kritiserat grönboken och många av dess förslag. När det gäller riskstyrning anser vi dock att kommissionen har rätt inriktning. Kommissionen anser att företagen bör ta fram en lämplig riskhanteringsstrategi och åtgärder för att hantera riskerna på ett effektivt sätt med utgångspunkt från företagets särskilda egenskaper och förutsättningar (exempelvis verksamhetsområde, storlek, internationell riskexponering eller komplexitet). Man framhåller att styrelsen bör se till att det finns en adekvat tillsyn av riskhanteringsförfarandet och det är absolut nödvändigt att klart definiera vilken roll och vilket ansvar alla parter som är inblandade i riskhanteringsförfarandet har: styrelse, företagsledning och all operativ personal som arbetar med riskhantering. Arbetsbeskrivningen ska vara känd både internt och externt.
Styrelsen och revisionsutskottet har enligt kommissionens syn ett särskilt ansvar för att utvärdera och fastställa företagets möjlighet att hantera utfallet av negativa risker. I vissa sammanhang säger man att företaget på det sättet definierar sin så kallade riskaptit, vilket är en tänkt maximal nivå för vad företaget klarar av. Ur detta kan styrelsen också fastställa sin risktolerans, alltså det riskutfall man kan tillåta. Företagsledningen äger och förvaltar processen att driva arbetet så att de risker företaget tillåter, därmed ligger inom ramen för den beslutade ”riskaptiten”.
Riskhanteringsarbetet utifrån EU-kommissionens syn
I företaget bör riskhanteringen ha en naturlig plats i affärsplaneringen och uppföljningen av utfallet av riskerna. Där affärsansvaret ligger i organisationen, finns på motsvarande sätt ansvaret för de risker som har anknytning till affärsverksamheten. Styrelsen och revisionsutskottet bör vidare se till att det i organisationen etableras en samordnande funktion för riskhanteringen. I många fall benämns denna befattning ”Chief Risk Officer – CRO”. En CRO har ett helhetsansvar för att riskhantering görs på ett ändamålsenligt sätt i organisationen. Det innebär att CRO dels ser till att riskhanteringen utnyttjas till att finna, specificera och utnyttja vissa risker för att utveckla affärsverksamheten och öka lönsamheten i företaget och dels ser till att de risker som i ett mer generellt synsätt kan skada bolaget, hanteras på lämpligt sätt.
I många företag inom EU rapporterar CRO direkt till företagets styrelse. I de mer extrema fallen är CRO även styrelseledamot. Det är inte en ordning som passar in i den nuvarande svenska modellen för god bolagsstyrning.
Det är av stor vikt att revisionsutskotten och därmed styrelserna i de börsnoterade företagen prioriterar riskfrågorna såväl i det strategiska arbetet som i den aktuella verksamhetsplaneringen. Styrelsen måste ha en strategi för vilka risker man är beredd att låta företaget ta och hur dessa risknivåer ska kunna efterlevas och följas upp i organisationen. Ett verksamhetsövergripande riskhanteringsarbete omfattar mer än finansiell rapportering men lägger grunden för intern styrning och kontroll i verksamheten samt involverar företagets internrevision för att följa upp systemen för riskhantering och intern kontroll, så som det definierats i 8 kap. § 49b ABL.
Hur bör styrelser i svenska bolag arbeta med riskhantering?
Utöver de formella krav som finns på riskhanteringsarbetet är det en förutsättning för att riskhanteringen ska fungera väl i företagen, att det finns en gemensam definition av vad som menas med risk och att denna definition används på ett likvärdigt sätt i alla delar av organisationen. Riskhantering syftar till att skydda värden i verksamheten, så kallade negativa risker. I andra änden av arbetet är riskhanteringens syfte att skapa värden som ska leda till att företaget tjänar mer pengar. Det är ett risktagande som kan innebära positiva utfall för företaget och ett försteg i förhållande till företagets konkurrenter. När man ska utarbeta sina riskdefinitioner är det en fördel om dessa utgår ifrån någon form av standardiserat och accepterat ramverk. Det kan vara till exempel ISO 31000 eller COSO ERM.
I praktiken behöver styrelsen skaffa sig en bred och allomfattande bild av organisationens risker. Denna bör täcka in såväl strategiska riskområden såsom planering för att säkra fortsatt drift vid katastrofer eller haverier av olika slag samt risker som är förknippade med exempelvis skatteplanering, som verksamhetsrisker relaterade till exempelvis informationssäkerhet och integritetsfrågor, oegentligheter och hållbarhetsrelaterade risker. Det finns självklart ett stort antal ytterligare riskområden som kan komma att tas med i företagets riskkarta.
Nyckelroller, ansvar och befogenheter med avseende på riskhantering behöver vara tydligt och pedagogiskt beskrivna för organisationens medarbetare, och vara lätttillgängliga i organisationen. Styrelsen bör genom revisionsutskottet försäkra sig om att organisationen underhåller och stärker god kunskap om riskarbete och stödjer en god spridning av riskkultur inom organisationen. På det viset stärker man den så kallade kontrollmiljön i företaget, vilket är en förutsättning för att riskhanteringsarbetet ska fungera väl.
Den arbetsordning som styrelsen har att utarbeta ska även omfatta styrelsens utskott. Respektive utskotts ansvar och roller med avseende på riskhanteringsarbetet definieras i arbetsordningen och kommuniceras till ledamöterna i utskotten. Det är en förutsättning att roller och ansvar avseende riskhanteringsarbetet beskrivs väl och sprids till dem som är involverade i arbetet.
För att kunna fånga upp och mäta risksituationen i organisationen behöver styrelsen vidare etablera en process som innebär att information om viktiga risker kommer till styrelsens kännedom. Därmed bör det på styrelsens dagordning alltid finnas plats för diskussioner om verksamhetsövergripande risk, där styrelsen behöver diskutera och förstå samspel och samband mellan risker och därmed dessas inverkan på organisationens olika delar. Styrelsen och företagsledningen bör i samråd etablera en riskkommitté, ett riskutskott eller motsvarande på hög nivå i verksamheten, med ledamöter från större affärsområden eller avdelningar vilka har god insikt i företagets övergripande riskhanteringsarbete. Styrelsen behöver utvärdera ändamålsenlighet och rimlighet i de nivåer och mått som har satts i avsikt att beskriva verksamhetens ”riskaptit”, tröskelvärden och risktolerans. Detta är en mycket svår fråga och den kommer därför i många styrelser i skymundan. Som komplement till detta, bör styrelsen följa upp utfallet av ledningens bedömning av hur företagskulturen ser ut i verksamheten vilket även bör omfatta inställningen till risk baserade på resultatet av regelbundna enkäter hos personalen och vissa utvalda externa parter, exempelvis leverantörer.
Styrelsen bör hålla företagsledningen informerad om sina förväntningar på hur arbetet med riskhantering ska rapporteras till styrelsen med avseende på omfattning, fullständighet, kvalitet (riktighet) och transparens.
Styrelsen och företagsledningen bör dra nytta av sin internrevisionsfunktion (om det finns en sådan) som granskar och rapporterar iakttagelser angående riskhanteringsarbetet, hur väl detta fungerar och hur det kan utvecklas.
Affärsområden och funktioner inom företaget ska ansvara för att hantera de risker som de är tvungna att ta inom ramen för sitt verksamhetsansvar. Stödfunktionerna inom företaget, såsom ekonomi/finans, juridik, IT, personal, etcetera, bör ha klart definierade roller med avseende på hur de ska ge stöd till företagets verksamhet i arbetet med riskhantering. Den affärs-områdesansvarige ska känna fullt ägarskap för sina risker men också kunna få fullt stöd från organisationen med att på bästa sätt utvärdera och hantera dessa.
Vilket är det formella ansvaret för styrelsen? Är det ok att vara passiv?
Mot ovanstående bakgrund kommer vi så till att besvara artikelns huvudfråga: kan ett ofullständigt riskarbete leda till ett större ansvar för styrelseledamöterna?
Svaret är tveklöst ja: en styrelse som inte på ett adekvat sätt hanterar riskfrågor kan bli ansvarig för fallissemang som orsakas av denna underlåtenhet. Det följer vidare att ett särskilt ansvar för dessa frågor vilar på revisionsutskottets ledamöter. Dock kan anmärkas att en förutsättning för att ledamöterna i revisionsutskottet och andra styrelseledamöter ska kunna hållas ansvariga för skador som uppstår i samband med brister inom riskhanteringssystemet är att den skadelidande kan visa att skadorna var en rimligt förutsebar följd av styrelsens underlåtenhet i denna del (så kallad adekvat kausalitet). Den direkta kopplingen är viktig här. Ett undermåligt arbete med risk i styrelsen kan definitivt påverka styrelsens ansvar. Den största faran med ett otillräckligt fokus på riskfrågor är dock att det ökar sannolikheten för att skador uppstår på grund av att organisationen inte har beredskap för att hantera konsekvenserna av om något oförutsett faktiskt skulle inträffa.
Anders Hult är specialist inom riskhantering på Deloitte samt ordförande i arbetsgruppen intern styrning och kontroll, ett samarbete mellan FAR och IIA.
Carl Svernlöv är advokat på Baker & McKenzie Advokatbyrå och adjungerad professor i associationsrätt vid Uppsala universitet.