Risikostyring var på mode i midten af 00’erne: Store virksomheder arbejdede omhyggeligt med det, assisteret af højt betalte rådgivere, og erhvervsmedierne skrev alenlange artikler om emnet. Så meget mere skuffende var det, da man kom til efteråret 2008 og måtte konstatere, at der åbenlyst havde været store huller i arbejdet med at tage højde for de usædvanlige begivenheder, der kunne true virksomhederne.
Efterfølgende har både myndigheder og rådgivere naturligt været optagede af, hvad der mere præcist gik galt, og der er gennemført en række analyser og evalueringer af dette. Conference Board har i sine Directors Notes opsummeret dette arbejde, og sammenfatter det i otte anbefalinger til virksomhederne og deres bestyrelser:
1) Vær specifik i ønskerne: Mange bestyrelser har gjort den fejl, at de har tilrettelagt arbejdet med risikostyring ud fra, hvad rådgivere og interne afdelinger har ment, det var passende at tage højde for. Det har givet en bias i retning af, at man især har set på de risici, som rådgiverne har særlige kompetencer indenfor, og som de har haft nemmest ved at gøre noget ved. Alt imens man har glemt risici, der var mere relevante, men også mere besværlige at håndtere. Bestyrelserne må reagere ved at gøre mere klart, hvad den præcist efterspørger, i stedet for blot at købe de tjenester, rådgiverne har på hylderne.
2) Strategi, inkl. placering af ansvar: Med de specifikke ønsker til risikohåndteringen på plads må bestyrelsen inddrage dette i virksomhedens strategi, og – meget vigtigt – sørge for, at det ikke blot bliver glemt igen. Det sker nemt, fordi de omhandlede risici ofte ikke vil være nærværende i dagligdagen. Konkret må man specificere hvem i bestyrelsen og ledelsen, der har ansvar for hvad i risikostyringen.
3) Beregn værdien af risici: Ultimativt kan man beregne, hvor alvorlige risici er i økonomiske termer. Det er en funktion af sandsynligheden for, at en negativ begivenhed indtræffer, og dennes påvirkning af værdiskabelsen. Naturligvis vil faktorerne i sådanne beregninger afhænge af skøn, og måske derfor undlader de fleste virksomheder at gennemføre det. Men Conference Board anbefaler at gøre det alligevel, fordi det er et meget værdifuldt instrument, når man skal afgøre, hvordan de forskellige risici skal prioriteres.
4) Tilpas den interne revision: Den interne revision må pr. definition have en betydelig uafhængighed af ledelsen. Men desværre bliver denne uafhængighed ofte ført så vidt, så man end ikke har en klar ide om, hvilke informationer ledelsen ønsker. Det er ikke mindst hæmmende i risikostyringen, hvor den interne revision f.eks. kan komme til at bruge uforholdsmæssig meget tid på at sikre, at forholdsvis uvæsentlige kontrolprocedurer fungerer optimalt.
5) Holistisk tilgang i ERM-afdelingen: Med fraværet af opgørelsen af risikoværdierne er ERM-afdelingen (Enterprise Risk Management) ofte overladt til at famle halvt i blinde. Den kan kun rapportere om, hvordan det går med de specificerede risici, men ikke vægte dem. Således kan den komme til at rapportere fremgang i risikostyringen, mens det i virkeligheden samlet set går den forkerte vej, eller omvendt.
6) Forlang redegørelser for risici ved bonusser: Efter krisen har der været stor opmærksomhed på de nøglemedarbejdere, der har fået store bonusser, mens de – som det skulle vise sig – kørte deres virksomheder ud over kanten. Emnet har interesse ud fra mere end en forargelsesvinkel, og bonusser kan påvirke mange af de risikofaktorer, der er identificeret. Bestyrelsen bør forlange at få en redegørelse for disse mekanismer.
7) Sørg for uddannelsen: I de fleste bestyrelser er der en overvægt af medlemmer, der fra topposter i direktioner har mange års erfaring med at håndtere risici på et helt praktisk plan. Uden at forklejne en så-dan indsigt, er det også vigtigt, at bestyrelsesmedlemmerne, f.eks. gennem kursusaktivitet, holder sig opdateret med det teoretiske grundlag for risikostyring.
8) Undgå kynismen: Man kan minimere risici, og man kan tage højde for dem. Men man kan aldrig helt undgå dem. Det er i sig selv en risiko ved at beskæftige sig med risikostyring, at man bliver for bornert, eller kynisk, omkring denne indsigt. Altså at man i praksis kommer til at påtage sig en større risiko, end det er hensigtsmæssigt eller nødvendigt.
Sten Thorup Kristensen