Företagens arbete med att organisera sin riskhantering har fått allt större uppmärksamhet. I denna artikel belyser Olof Arwinge och Inger Rost modellen med de tre försvarslinjerna. Modellen har fått fotfäste i finansiell sektor och sprider sig nu till andra branscher.
SOU – Statens offentliga utredningar
IFAC – International Federation of Accountants
COSO – Committee of Sponsoring Organizations of the Treadway Commission
SOU 2011:68 Rörelsereglering för försäkring och tjänstepension.
Principles for the sound management of operational risk, The Basel Committee on Banking Supervision, 2011.
Guidelines on Internal Governance, European Banking Authority, The European Banking Authority, 2011.
Modellen med de tre försvarslinjerna har blivit allt mer populär i organiseringen av företagens riskhantering och den förekommer allt oftare i normgivning för finansiell sektor. I SOU 2011:68 om Solvens II i försäkringssektorn nämns modellen med de tre försvarslinjerna som ett alternativ, dock utan ställningstagande1. För banksektorn redogör Basel-kommittén för modellen via exempelvis riktlinjer som rör hantering av operativ risk2 och europeiska bankmyndigheten (EBA) tar upp modellen i riktlinjer om styrning i banker3.
IIA Position Paper: The three lines of defense in effective risk management and control, January 2013. Anpassad från ECIIA/FERMA Guidance on the 8th EU Company Law Directive, article 41.
En anledning till modellens ökande tillämpning går troligtvis att finna i dess enkelhet. Den tydliggör vem som ansvarar för vad rörande riskhantering och intern styrning och kontroll, en inte helt oviktig fråga då det förekommit oklarheter på detta område. Det är viktigt att poängtera att modellen är en av flera alternativ som styrelser har att välja bland för att skapa struktur kring riskhanteringen. I denna artikel beskriver vi vår syn på modellen och dess utmärkande drag. Det finns ett flertal illustrationer av modellen, vilka även varierar till innehåll. Originalet till illustrationen här intill är hämtad från Institute of Internal Auditors (IIA)4.
Tre företagsinterna ansvar – ansvarslinjer
Då modellen tar sin utgångspunkt i en verksamhets grundläggande ansvar rörande riskhantering och intern styrning och kontroll, menar vi att det är mer rättvisande att tala om ansvarslinjer i stället för försvarslinjer. Överst finner vi styrelsen som är ytterst ansvarig för bolagets organisation, och som fastställer policyer för riskhantering utifrån ägarpreferenser och direktiv. Organisationens verkställande direktör är underordnad styrelsen och ansvarar formellt för den löpande förvaltningen.
Den första ansvarslinjen utgörs av ledning och affärsverksamhet som genom sitt linjeansvar representerar den primära riskägaren. Detta innebär att de ansvarar för att hantera risker samt upprätthålla en effektiv intern styrning och kontroll. Första ansvarslinjen är relaterad till företagets formella hierarki som följer med ansvar för koncerner, bolag, dotterbolag, affärsområden och avdelningar. Att upprätthålla en hållbar riskkultur är första linjens ansvar. I illustrationen återfinns verkställande ledning (senior management) ovan de tre ansvarslinjerna, men vi ser den även som en självklar del av första ansvarslinjen.
Den andra ansvarslinjen är oftast mer funktionellt orienterad. Här avses funktioner som arbetar specifikt med att övervaka risktagande. Dessa funktioner bör inte ha ansvar för affärsverksamhet utan utgör stödjande och övervakande funktioner. Denna andra ansvarslinje har utvecklats betydligt under senare år – till fördel för både första och tredje linjen. Den utgörs främst av funktioner för riskkontroll och regelefterlevnad, men även andra funktioner kan innefattas beroende på verksamhetens art och karaktär. Dessa funktioner bidrar till att utveckla processer kring riskhantering och intern styrning och kontroll, men de har även ansvar för att övervaka första linjens arbete. De kan beskrivas som en kombination av vakthund och betrodd rådgivare. Det är dock inte alltid helt lätt att omedelbart klassificera funktioner enligt en ansvarslinje. Exempelvis kan en funktion som bolagsjuridik ofta verka både i första och andra ansvarslinjen.
Även den tredje linjen är funktionellt orienterad och utgörs främst av internrevisionsfunktionen. Internrevisionsfunktionen arbetar på styrelsens uppdrag och granskar första och andra linjens arbete. I denna linje återfinns inget ansvar för affärsverksamhet, och internrevisionen avgör inte heller hur intern styrning och kontroll bör utformas. Medan andra ansvarslinjen kan vara något begränsad i sin självständighet i relation till första ansvarslinjen, så ska den tredje linjen vara mera oberoende i förhållande till den verksamhet den är satt att granska. Modellen är en del i ett större sammanhang, varför man i förlängningen av denna modell även kan bygga på med viktiga företagsexterna funktioner, såsom illustrationen indikerar.
Varför behövs flera ansvarslinjer? I en perfekt verksamhet behövs ingen andra eller tredje ansvarslinje – enbart den första linjens riskhantering, styrning och kontroll. Man kan jämföra med en fotbollsmatch där det ena laget varit överlägset – något försvar behövdes inte i praktiken. Tyvärr finns få perfekta organisationer med ofelbara system och processer varför fel uppstår. Alltså behövs ytterligare ansvar för övervakning av verksamheters hantering av risker och möjligheter.
Ömsesidig påverkan
Vilka är modellens utmärkande drag? Främst bör nämnas att det finns ett tydligt ansvar relaterat till respektive ansvarslinje. Det ansvar som exempelvis åligger den första ansvarslinjen när det gäller att hantera risker är ofrånkomligt. På samma sätt är det olämpligt för självständigt arbetande kontrollfunktioner i andra eller tredje ansvarslinjen att ansvara för väsentlig affärsverksamhet eller besluta om strategier.
Ett andra utmärkande drag är att kvaliteten i arbetet i ansvarslinjer påverkar varandra ömsesidigt. Föreligger brister i arbetet med intern styrning och kontroll i första ansvarslinjen leder det inte bara till högre risk för bolaget, utan det påverkar även arbetet i andra och tredje ansvarslinjen på ett negativt sätt. Uppföljning och utvärdering blir onödigt resurskrävande och felfokuserat. En organisation med en aktiv ledning som arbetar strukturerat med att hantera risker har jämförelsevis stora fördelar. Organisationen agerar här mer medvetet på risker, men även uppföljning och utvärderingsinsatser av riskhantering underlättas. Hög kvalitet i riskhanteringen i första ansvarslinjen torde innebära att andra och tredje linjen kan arbeta mer proaktivt.
På motsatt sätt leder även brister i andra och tredje linjens arbete till sämre total riskhantering. Om exempelvis den andra ansvarslinjen är outvecklad och inte stödjer organisationen med bra styrmedel, modeller och ramverk försvåras första ansvarslinjens riskhanteringsarbete. Den kvalitetsnivå man önskar på arbetet i respektive linje avgörs av ambitionsnivå från styrelse och ledning, nyttobedömningar, förmåga samt de regulatoriska minimikraven.
Åtskillnad för balans
Kraven på åtskillnad av funktioner som rör risktagande från funktioner som rör riskkontroll ökar. Fallissemang har gjort det tydligt att brister i sådan åtskillnad kan få negativa effekter på organisationens totala riskhanteringsförmåga. Viss åtskillnad krävs för att skapa balans mellan risktagande och riskkontroll. Formella krav i reglerade sektorer ställer även krav på självständighet hos vissa företagsövergripande funktioner, bland annat funktioner för riskkontroll, compliance samt internrevision om vi ser till finansiell sektor5. En viss åtskillnad mellan grundläggande ansvar och funktioner utgör även sund affärspraxis. En utmaning är dock att upprätthålla en tillräcklig grad av åtskillnad, och mindre verksamheter har naturligtvis specifika utmaningar.
Ett fullständigt oberoende är en illusion. För att nå företagets mål krävs nära samarbete mellan ansvarslinjer kring en rad olika förhållanden. Enligt SOU 2011:68 finns också möjligheter att kombinera uppgifter i första och andra ansvarslinjen – något som tycks bli svårare när det gäller tredje ansvarslinjen, där kraven på oberoende är högre. För att åstadkomma självständighet är vissa förhållanden viktiga att beakta. För att undvika självgranskningshot bör man separera kontrollverksamhet från affärsverksamhet. Tydliga rapporteringslinjer till styrelse tillsammans med ansvar som minimerar risk för intressekonflikter är också viktigt. Och självklart bör inte ersättningsformerna skapa onödiga intressekonflikter för ledande personal på centrala positioner.
Se exempelvis FFFS 2005:1, 2007:16, 2008:11 och 2010:3 för finansiell sektor.
Samarbete för effektivitet
Det föreligger goda skäl till lämplig åtskillnad för att skapa balans i riskkontroll, men samtidigt är det nödvändigt med samarbete för att skapa lönsamhet i företagets system för riskhantering och interna styrning och kontroll. Om modellen ska bli riktigt effektiv krävs samordning och samarbete mellan de olika ansvarslinjerna. Organisationens naturliga utveckling innebär att de olika delarna ständigt måste anpassa sig till varandras aktiviteter – motsatsen innebär risk för felarbete och onödig administration. Det handlar om komplementärt ansvar där alla har sina uppgifter men där dessa uppgifter ständigt måste anpassas till varandra. Risktagande sker utifrån ägardirektiv och beslutade strategier, vilket även måste vara utgångspunkten för första linjens riskhantering, andra linjens riskövervakning och tredje linjens utvärdering av den sammantagna strukturen.
Ett utmärkande drag rör alltså behovet av ständig anpassning. I konstant turbulens blir bolagens riskprofil allt mer föränderlig. Därför ändras risker snabbare, varför både övervakning och granskning från andra och tredje ansvarslinjen också måste följa efter för att förbli relevanta. I takt med att modellen om ansvarslinjer etableras och utvecklas i organisationer krävs dock att roller och uppgifter också anpassas. Under senare år har exempelvis den andra ansvarslinjen, och kanske främst compliancefunktionen, utvecklats starkt och i positiv riktning i den finansiella sektorn. Mot denna bakgrund blir det än viktigare att andra och tredje ansvarslinjen koordinerar sitt arbete samt vidareutvecklar sina respektive uppdrag – som en del av en ständig förbättring.
För att åstadkomma effektivitet krävs även att information om affärer och risker delas mellan ansvarslinjerna. Behovet av samarbete är även tydligt då samtliga ansvarslinjer i slutändan rapporterar till ledning och styrelse samt till styrelsens utskott. I den mån denna rapportering är sinsemellan oöverensstämmande vad gäller exempelvis begreppsbruk och allmänt riskspråk, uppstår självklart bekymmer. Informationen till styrelse och ledning blir då ineffektiv och svårtolkad.
Koordinering inom ansvarslinjer
Som vi berört krävs även anpassning inom respektive ansvarslinje. Ibland pratar man om silo-problem där olika funktioner inom samma ansvarslinje arbetar isolerat med specifika risker. Med tanke på att större händelser sällan beror på en enskild risk är samarbete och aggregering kring riskdata av största betydelse för bolagets totala riskhanteringsförmåga. Riskhanteringsåtgärder behöver samlas och koordineras. Detta är kanske självklart men i praktiken föreligger stora utmaningar kopplade till att effektivt aggregera riskdata för exempelvis försäkring/kredit, finans, marknad samt operativa risker. Även inom andra och tredje ansvarslinjen krävs koordinering sinsemellan för att undvika silobaserad uppföljning. Väsentliga kontrollinsatser utförs av funktioner för riskkontroll och compliance, vilka både kan överlappa och sakna täckning inom viktiga områden. I bästa fall är de dock väl koordinerade och arbetar tillsammans med organisationen med ett gemensamt förhållningsätt. I slutändan har styrelsen och styrelsens utskott ett stort ansvar att agera kravställare och begära att ansvarslinjerna är koordinerade sinsemellan samt inom respektive ansvarslinje.
Avslutande reflektioner
Det finns indikationer på att företagens riskhanteringsförmåga blir allt mer avgörande för framgång. Tydlighet i roller och ansvar utgör fundamentet i all förmåga att hantera risk. På makronivå nämner SOU 2013:6 att första försvarslinjen utgörs av bolagens styrelser och ledningar, andra linjen av revisorer och kreditvärderingsinstitut och tredje linjen av reglering och tillsyn6. På mikronivå ser försvarslinjerna något annorlunda ut. Oavsett om modellen appliceras på makronivå eller på mikronivå handlar det, enligt vår mening, till stor del om tydlighet i roller och ansvar. Både IFACs nya vägledning och det kommande uppdaterade ramverket från COSO, båda om intern styrning och kontroll, poängterar vikten av en tydlig organisation rörande riskhantering och intern styrning och kontroll. Modellen med tre ansvarslinjer har blivit populär, men den är fortfarande relativt ny. Likväl har den ett antal fördelar. Den är tydlig och enkel och möjliggör struktur kring organisationens riskägarskap. Vi är övertygade om att en organisation som använder modellen på ett genomtänkt sätt kan få en effektivare verksamhet genom en förbättrad riskhanteringsförmåga och därigenom även undvika onödiga kostnader.
Men passar modellen alla typer av organisationer? Ja, menar vi. Kontrollfunktioner i andra ansvarslinjen kan exempelvis variera beroende på om det är ett tillverkande företag, ett läkemedelsbolag eller ett försäkringsbolag. Och även om mindre företag kan ha problem med att åtskilja ansvar på funktioner och individer finns möjlighet till anpassning även här.
Inger Rost är internrevisionschef på Folksam och ledamot i FARs och IIAs arbetsgrupp för intern styrning och kontroll.
Olof Arwinge är rådgivare på Grant Thornton och ledamot i FARs och IIAs arbetsgrupp för intern styrning och kontroll samt ordförande i IIAs arbetsgrupp för yrkestekniska frågor.
SOU 2013:6 Att förebygga och hantera finansiella kriser.