Risikostyring handler om meget andet end afdækning af de mest oplagte finansielle og forretningsmæssige risici. Bestyrelsen bør anlægge en langt bredere definition af risikostyring – også kaldet Enterprise Risk Management (ERM), som får stadig større opmærksomhed i bestyrelseslokalerne.
Ifølge en artikel i det amerikanske tidsskrift Directors & Boards har der hidtil været stor forskel i opfattelsen af, hvad der ligger i begrebet risikostyring. Typisk har der været fokuseret på områder, hvor virksomheden har kunnet afdække risici, eksempel finansielle risici på valuta, råvarepriser og renter, altså en eller anden form for beskyttelse af virksomhedens aktiver.
Typisk sker afdækning med forsikringer også omkring bestyrelsens og direktionens ansvar, herunder etablering af interne processer, der sikrer, at virksomheden overholder lovgivning og regulering, og som sikrer, at ledelsen forholder sig til rent juridiske problemstillinger.
Bestyrelsen bør altså anlægge et helhedssyn på virksomhedens strategiske og forretningsmæssige risici, som går videre end beskyttelsen af ressourcer og af ledelsen, og som handler mere om at optimere værdiskabelsen, skriver den anerkendte kommentator indenfor governance, Richard M. Steinberg, som er ledende partner i Steinberg Governance Advisors og tidligere chef for governance i PricewaterhouseCoopers.
Steinberg skriver, at risikostyring ofte bliver begrænset til et snævert felt, nemlig de risici som ses på det bestemte tidspunkt, bestyrelsen og ledelsen arbejder med overvågning af potentielle risici, og til de risici, som den daglige ledelse umiddelbart ser på ”radarskærmen”.
Det handler altså om, at det systematisk overvejes, hvordan der identificeres nye potentielle risici, som pludselig bliver mere nærværende og sandsynlige end tidligere.
I artiklen gennemgår han hovedpunkterne i ”biblen” indenfor risikoledelse med titlen ”Enterprise Risk Management – Integrated Framework”, som er formuleret af den internationale organisation COSO. Grundlæggende anvises her nogle redskaber og processer, som kan gøre ledelsen i stand til at identificere potentielle begivenheder, som kan give anledning til nye forretningsmæssige muligheder eller afspore selskabets fremdrift mod opstillede mål for lønsomhed og ekspansion.
Ved at identificere relevante begivenheder eller nye tendenser tidligt, kan ledelsen med de rette mekanismer og processer foretage de fornødne indgreb for at minimere en negativ udvikling og udnytte eventuelle positive muligheder. På den måde kan ERM hjælpe virksomheden med at opfylde målsætninger og lønsomhedsmål og undgå større tab af ressourcer, hedder det.
Et af bestyrelsens ansvarsområder er netop at holde sig løbende orienteret om potentielle og nye risici, så den har mulighed for at sikre, at ledelsen foretager de fornødne tiltag til at imødegå en negativ udvikling. Men det er næsten altid den daglige ledelse, som informerer bestyrelsen om virksomhedens risikosituation. Formidles alle nødvendige oplysninger? Og det giver anledning til et vigtigt spørgsmål: Hvordan kan bestyrelsen være sikker på, at ledelsen videreformidler alle nødvendige oplysninger om betydelige risici til bestyrelseslokalet?
Svaret kan deles i to: Det ene går ud på, om ledelsen videreformidler den information om risikoforholdene, ledelsen faktisk har. Og det er igen et spørgsmål om tillid til ledelsen og dennes troværdighed. Det andet går ud på, om ledelsen overhovedet har overblik over de vigtigste risici og en etableret proces, som sikrer en rapportering om nye truende risici.
Ifølge Steinberg har topledelsen ofte ikke et klart billede af de største faktiske og truende risikofaktorer. Realiteten er, at topledelsen meget ofte har et tætpakket dagsprogram, som er fyldt med en myriade af andre dagligdags problemstillinger og opgaver som salg og marketing, human ressources, store kunder, strategi, bestyrelsen og investorer.
Resultatet er, at den daglige ledelse i de fleste tilfælde arbejder med allerede opståede problemer og ”sager,” som allerede er blevet sager, og altså i mindre grad potentielle risici. Med andre ord bliver der ikke i tilstrækkelig grad taget hånd om risici, før de når at udvikle sig til problemer, og så er det jo ved at være for sent.