Bestyrelsens syn på risikostyring skal opdateres med jævne mellemrum, og nytåret er en oplagt mulighed. I en guide fra amerikanske NACD Directorship opstilles en tjekliste på fem punkter, som faktisk kan kopieres ind i dagsordenen til første bestyrelsesmøde i det nye år. Vi gennemgår her de fem punkter:
Aktualitet af risikoprofilen: Risikobilledet ændrer sig uophørligt, som konsekvens af udviklingen både i og omkring virksomheden. Direktionens rapportering bør fremhæve, om der vurderes at være nye risici, omvendt om der er risici, der er blevet uaktuelle, og om der er trusler, der er blevet væsentligt mere eller mindre sandsynlige siden seneste opdatering.
Desuden kan direktionen særligt redegøre for trusler, der er meget lidt sandsynlige, men hvor den potentielle skadevirkning til gengæld er stor. Der bør være handlingsplaner for sådanne tilfælde.
Når bestyrelsesmedlemmerne selv skal forberede sig på mødet, kan de f.eks. overveje, om væsentlige forudsætninger for virksomhedens strategi enten er blevet mere eller mindre sikre, og om der er globale trends, der sår tvivl om den valgte strategi. Desuden kan de overveje mulige katastrofescenarier og hændelser, der permanent vil ændre virksomhedens forudsætninger – f.eks. nye typer af brud på datasikkerheden eller svigtende infrastruktur.
Stadigt bedre risikostyring: Bestyrelsen må sikre sig, at der for hver enkelt identificeret risiko er en person eller afdeling, der ved, at man har ansvaret. Det, at ”ejerskabet” over den konkrete risikostyring bliver diffus, er i sig selv en risiko, og det vil i øvrigt optage unødige ressourcer i virksomheden. I forvejen bør risikostyringen alt andet lige få mere og mere fokus, i takt med at verden bliver mere kompleks, og ændringer i omgivelserne sker hurtigere. Opgraderingen er et af de konkrete forhold, bestyrelsen kan bede direktionen om en redegørelse for. Andre er processen i den overordnede, daglige risikostyring, og at rapporteringen vedrørende risici er troværdig og sker hurtigt.
Villighed til at påtage sig risici: Som bekendt handler erhvervsvirksomhed dybest set om, at man påtager sig en risiko med henblik på at opnå en fortjeneste. Man skal altså finde en balance mellem risikostyring og risikovillighed, og en del af nytårsstatus kan passende være at sikre, at bestyrelse og direktion er enige om, hvor denne balance ligger. En konkret fremgangsmåde på bestyrelsesmødet kan være at stille sig selv spørgsmålet: Hvordan ved vi, at virksomheden udfører sine aktiviteter indenfor rammerne af den risikoappetit, vi har?” For at besvare dette spørgsmål, må man nødvendigvis blive mere detaljeret omkring de enkelte elementer i risikostyringen.
Fra papir til praksis: Det løser naturligvis i sig selv ikke nogen problemer, at man har fastlagt en risikopolitik, og heller ikke det, at den er udmøntet gennem ordrer nedad i organisationen, er tilstrækkeligt. De enkelte medarbejdere, der er blevet pålagt et ansvar på et område, der i sagens natur ikke handler om dag til dag-aktiviteter, skal også forstå, at det er alvor. Det vil sige, at det skal være en værdi i hele organisationen, at man tager højde for risici. Det begynder allerede ved, at bestyrelsen ikke glemmer at stille direktionen de svære spørgsmål.
Videre ned i systemet skal direktionen huske at tage advarsler fra de risikoansvarlige alvorligt, også selv om faren driver over, og bonussystemer og personalepolitik må ikke blive så kortsigtet, at man undlader at belønne arbejde med risici for begivenheder, blot fordi disse heldigvis ikke indtræffer.
Integreret risikostyring: I nogle brancher og virksomheder er det muligt, at risikostyringen ikke bare tjener som en brandslukker, der kun kommer i anvendelse, når det brænder, men at den også selvstændigt bidrager til den egentlige værdiskabelse. Det er tilfældet, hvis man kan integrere risikostyringen i virksomhedens øvrige processer – så som budgettering, vidensindsamling og M&A-aktiviteter. Nytårsstatussen kan være en god lejlighed til at spørge sig selv, om det f.eks. er muligt at foretage opkøb, der på en gang bidrager på bundlinjen og eliminerer fremtidige trusler mod samme bundlinje.
Sten Thorup Kristensen