Henrik Axelsen giver gode råd om risikostyring i bestyrelsesarbejdet.
Forhenværende partner i E&Y, tidligere PricewaterhouseCoopers, Henrik Axelsen, skriver om, hvilke krav bestyrelsen skal stille til rapportering omkring risikostyring. Artiklen om oplysningskrav omkring risikostyring bør læses i forlængelse af tidligere indlæg i Ugebrevet om Kommissionens forslag til forbedret virksomhedsledelse. Udgangspunktet for, at direktionen kan holde bestyrelsen orienteret om risikostyring er, at der foreligger en klar politik for risikostyring, herunder klarhed over ansvar og beføjelser.
Direktionen bør holde bestyrelsen orienteret om resultater, udviklinger, risici, effektiviteten af risikostyringen samt andre relevante begivenheder, og jo bedre kommunikation, der er mellem direktion og bestyrelse, jo mere effektiv kan bestyrelsen være i udførelsen af sine overvågningsforpligtelser og i sin funktion som direktionens sparringspartner og vejleder.
Bestyrelsen bør meddele direktionen, hvilke informationer den ønsker på hvilke tidspunkter vedrørende virksomhedens risikostyring både med hensyn til eksterne og til interne forhold. Som led i fastlæggelsen af et relevant informationsniveau bør bestyrelsen stille sig selv følgende spørgsmål:
• Hvilken information skal vi modtage for at opfylde vores pligter omkring risikostyring?
• Hvornår og hvordan ønsker vi, at direktionen skal rapportere risikoinformation til os?
• Hvordan sikrer vi os, at den information, vi modtager omkring risici og risikostyring, er præcis og komplet for vores rolle som bestyrelse?
• Hvordan sikrer vi, at direktionen forstår, accepterer og udøver sin rolle omkring risikoidentifikation, -evaluering og håndtering af risici?
• Hvordan sikrer vi, at direktionen fokuserer strategisk på risikostyring og gør det løbende?
• Har vi effektivt kommunikeret vore forventninger til direktionen omkring virksomhedens risikostyringssystem, og har direktionen en klar forståelse af, hvad vi forventer at modtage?
• Hvordan sikrer vi, at virksomheden opererer i forhold til den fastlagte risikotolerance og indenfor den samlede risikoappetit?
• Er vi sikre på, at vi lever op til vort bestyrelsesansvar med hensyn til risikostyring? På ethvert bestyrelsesmøde, hvor der træffes beslutninger af strategisk karakter, bør denne beslutnings effekt på risikostrategien belyses.
Derudover bør der minimum halvårligt ske en rapportering, som omhandler status på risikostyringssystemet, således at bestyrelsen kan foretage en reel behandling af virksomhedens risici i forhold til risikostyringspolitikken og eventuelle ændringer internt eller eksternt i forhold til virksomhedens drift og konkurrencemæssige situation.
Informationsgangen kan med fordel tilrettelægges samtidig med den økonomiske rapportering til bestyrelsen. Den gode rapport til bestyrelsen i en ikke-finansiel virksomhed bør omhandle følgende emner, idet det forudsættes, at rapporteringen indskrænker sig til det væsentlige:
• Resumé på handlingspunkter fra sidste rapportering
• Generelle ændringer i risikoprofilen siden sidste rapportering, herunder ændringer i virksomhedens risiko-/hændelsesregister og effekten af risikostyringen generelt, herunder udviklingen i risiko-indikatorer
• Særskilt status på top 5 risici og handlingsplanerne omkring top 5 risici, herunder hvilke forbedringer, der er sket i styringen i sidste kvartal
• Status på den samlede risikoeksponering på virksomhedsniveau i forhold til de fastlagte mål for virksomhedens risikoappetit og -tolerance
• Status over effektiviteten af kontrolniveauet, herunder eventuelle svigt eller hændelser, som giver anledning til bemærkninger, samt hvilke korrigerende handlinger, der er iværksat
• Eventuelle bemærkninger fra intern eller ekstern revision omkring risikostyringen
• Ændringer i forretningsenheder, kundesegmenter eller produktsegmenters lønsomhed i forhold til det risikoniveau, som er fastlagt for forretningsenheden/-segmentet Indhold, form og frekvens bør naturligvis tilpasses den enkelte virksomheds situation og industri.
For bestyrelsen må det være afgørende, at den til enhver tid føler sig tryg ved risikostyringssystemet, at det bidrager positivt ved realiseringen af virksomhedens mål, og at bestyrelsen kan dokumentere, at den opfylder sin funktion med hensyn til risikostyring i virksomheden.