Det er sket utallige gange siden finanskrisen brød ud: En hidtil velrenommeret virksomhed befinder sig pludselig langt ude på det dybe vand, og aktionærer, medier og analytikere spørger i kor, om bestyrelsen har snorksovet. Kritikken bliver ikke mindre hård af, at der i årene forinden er gjort et stort arbejde for at professionalisere bestyrelsesarbejdet, ikke mindst i henseende til risikostyring. Der var opbygget en forventning om, at bestyrelserne skulle have været i stand til at manøvrere deres virksomheder uden om isbjergene.
Men hvor der bestemt er bestyrelser, der har svigtet, så hører det også med til historien, at samtidig med, at risikostyring måske er den vigtigste opgave for en bestyrelse, så er det også en af de vanskeligste at håndtere. Den stritter på en række punkter imod de andre pligter, en bestyrelse har; ikke mindst i henseende til at håndtere vækst og indtjening. ”Business Risk – A practical guide for board members”, der er udgivet af Willis, PwC, Chartis og Airmic, beskriver fænomenet og giver bestyrelsesmedlemmer råd til, hvordan de kan håndtere den svære opgave.
Nyhedsbrev for Bestyrelser bringer i dette og næste nummer highlights fra guiden, der fastslår, at bestyrelsens vigtigste rolle i henseende til risikostyring er at sikre, at der er den rette CEO, at vedkommende gør sit arbejde ordentligt – og i modsat fald at tage affære og finde en ny CEO. Det kan i sig selv være vanskeligt på det rent menneskelige plan, da CEO’en ofte har en betydelig autoritet – ikke mindst, hvis han har en historik med gode resultater, som det f.eks. udpræget var tilfældet med Roskilde Banks adm. direktør Niels Valentin Hansen. Men endnu sværere bliver det af, at det er CEO’en selv, der skal komme med det meste af det materiale, han eller hun skal bedømmes ud fra.
En anden konkret vanskelighed er, at incitamentsaflønningen til CEO’en og den øvrige direktion overordnet vil belønne gode resultater, og dermed indirekte den daglige ledelses vilje til at løbe risici. Naturligvis er der også et meget kontant tab for direktørerne, hvis virksomheden kommer i uføre og de risikerer deres jobs. Men det er næsten umuligt at belønne godt dag-til-dag-arbejde med risikostyring, hvorimod det er nemt at belønne ud fra regnskabsresultater, aktiekurser, kundetilfredshed og så videre. Det samme gælder for så vidt incitamentsaflønningen af bestyrelsen selv, og som omtalt tidligere her i Nyhedsbrev for Bestyrelser er der også en direkte sammenhæng mellem bestyrelsens direkte økonomiske interesse i løbende gode resultater, og så virksomhedens konkursrisiko. Men selv hvis man holder bestyrelsens incitamentsaflønning på et lavt niveau, vil der stadig være en modsætning mellem bestræbelserne på at maksimere resultater og at minimere risici.
Det skyldes, at mange af de menige bestyrelsesmedlemmer er valgt specifik for at kunne bidrage til at øge indtjening og/eller vækst. De har f.eks. en baggrund fra andre brancher, og de antages at komme med brugbare erfaringer herfra. Men deres viden om risikofaktorer i den virksomhed, de kommer i bestyrelsen for, vil være begrænset, og når de har leveret den ”vare”, der har ført til deres medlemskab af bestyrelsen i første omgang, vil de måske også føle, at de har gjort deres, og at andre må tage sig af risikohåndteringen. Det er, fastslår guiden, et nøglespørgsmål, hvor meget information om risici disse menige bestyrelsesmedlemmer skal kræve af den daglige ledelse. Selve problemet med arbejdsmængden kan et stykke hen ad vejen løses ved, at bestyrelsen lægger arbejdsopgaverne ned i underudvalg, der fokuserer på forskellige risikoaspekter. Men stadig må man på bestyrelsesniveau tage stilling til, hvor bredt et vy over de mulige risici, man vil have.
Listen over ulykker, der mere eller mindre teoretisk kan ske, er uendelig, og det kan være fristende både at koncentrere sig om et beredskab for de helt uforudsigelige ulykker (de såkaldte black swans) – eller omvendt helt at udelade disse fra betragtningen.
Men også når det gælder de mere forudsigelige ulykker skal man prioritere, hvor meget information, man vil have fra ledelsen, og hvor finmasket beredskabet skal være. Hvor svært det end er, må man afveje risikoen for f.eks. en dyb lavkonjunktur, en konkurrents lancering af et genialt produkt og en alvorlig kriminel handling foretaget af en eller flere ledende medarbejdere.
Der findes ingen generel facitliste for alle disse spørgsmål. Hver bestyrelse må efter bedste evne træffe sit valg, ud fra virksomhedens, branchens og omgivelsernes natur. Men guiden opstiller dog tre spørgsmål, som man til en start kan stille sig selv:
• Er kvaliteten og bredden af den information om risici, du får som bestyrelsesmedlem, tilstrækkelig til virkelig at forstå virksomhedens risikoprofil?
• Hvor tryg er du ved bestyrelsens evne til at forstå og udfordre direktionens risk management?
• Hvor forberedt er organisationen og bestyrelsen på at reagere på risikosituationer, der måtte opstå?
Sten Thorup Kristensen