Bestyrelsen har ansvaret for at sikre, at den daglige ledelse har etableret systemer til at identificere og håndtere potentielle risici, før de udvikler sig til alvorlige problemer.
Flere og flere bestyrelser spørger da også virksomhedens daglige ledelse, i hvor høj grad den har indarbejdet Enterprise Risk Management (ERM) i virksomhedens ledelsesprocesser, lyder vurderingen i en artikel i det amerikanske tidsskrift Board & Directors med overskriften ”Managing Risk – to your company and you.”
I denne artikel nummer to om ERM gennemgår vi de otte hovedactions i COSO’s rapport. Udgangspunktet er, at modellen for risikoledelse ikke alene handler om at dæmme op for negative begivenheder, men i ligeså høj grad om at udnytte nye muligheder.
Med den relevante information og analyse af potentielle risici bliver ledelsen nemlig klædt bedre på til at vurdere risici i forhold til potentialet i nye initiativer. Uden denne klarhed kan der være tendens til, at ledelsen vælger den sikre vej – simpelthen fordi den ikke har en god indikation af sandsynligheden for henholdsvis succes og fiasko.
Med ERM kan der modsat identificeres en række potentielle begivenheder eller tendenser, som kan give virksomheden en betydelig upside. Det kan være vigtige byggeklodser i den strategiske planlægning og andre ledelsesprocesser.
COSO‘s model består af otte komponenter, som kan indbygges i ledelsesprocessen:
Internt risikomiljø: For det første skal ledelsen fastlægge en filosofi for risikoappetit, som bestemmer det interne miljø for, hvordan man ser på risici og kontrol heraf. Kernen i enhver virksomhed er mennesker, og deres tænkning, herunder værdier, integritet, etik og kompetencer, er afgørende for virksomhedens måde at drive forretning på, også i forhold til risikohåndtering.
Fastsætte mål: For det andet bør ledelsen opstille målsætninger, fordi det er grundlaget for at sætte en klar kurs i forhold til strategisk planlægning og fastlæggelse af andre ledelsesprocesser og en risikoappetit.
Identifikation af begivenheder: For det tredje skal potentielle begivenheder, som kan have stor effekt på virksomhedens lønsomhed og udvikling, identificeres. Der skal både identificeres interne og eksterne faktorer, som påvirker strategiplanen og muligheden for at opnå de opstillede målsætninger. Heri indgår, at samspillet mellem forskellige begivenheder vurderes, så der opnås en større forståelse af virksomhedens risikobillede.
Risikoovervågning: For det fjerde skal de identificerede risici analyseres nærmere med henblik på at beslutte, hvordan de skal håndteres. De potentielle risici skal sættes i relation til de opstille målsætninger for at afgøre, hvor effekterne af eventuelle begivenheder er store og små.
Reaktion på risici: For det femte bør ledelsen opstille en handlingsplan eller en række actions, som en eventuel reaktion på de potentielle risici, og som modsvarer den valgte risikoappetit og virksomhedens strategiplan. Dette punkt handler om, at ledelsen skal opstille og evaluere mulige reaktioner på identificerede risici, herunder hvordan risici kan eller bør undgås, accepteres, reduceres eller deles med andre.
Kontrolaktiviteter: For det sjette bør der opstilles skriftlige politikker og etableres procedurer som sikrer, at de besluttede actions i reaktionsplanen faktisk bliver ført ud i livet.
Information og kommunikation: For det syvende skal den relevante information identificeres, opsamles og viderekommunikeres til de relevante personer, så de kan foretage de fornødne actions, så reaktionsplanen overholdes. Informationen skal videreformidles i en forståelig og klar form og uden unødigt ophold for at sikre, at hele set up’et virker. Der bør også kommunikeres bredt ud i virksomheden om disse processer, så der opnås en samlet større forståelse for virksomhedens måde at håndtere risikostyringen.
Overvågning: Hele ERM-processen bør løbende overvåges, så der kan foretages nødvendige justeringer hen ad vejen. Det sikrer, at systemet kan tilrettes i en dynamisk proces, som modsvarer ændringer i markedsforhold, produktionsforhold og andre størrelser, som konstant forandres.
Afslutningsvis understreges det, at COSO‘s model for risikoledelse ikke kan sættes i stedet for virksomhedens system for interne kontroller, eksempelvis Sarbanes-Oxley. Der er tale om to forskellige formål og systemer. Men det fremhæves, at der er samdriftsfordele ved at indføre begge systemer