Udefra set var det nogle forholdsvis simple problemer med risikostyringen, der væltede læsset for OW Bunker. De kunne have været løst, og så havde virksomheden overlevet, om end det formentligt stadig var gået hårdt ud over aktiekursen. De bestyrelsesmedlemmer, der blev sat ind efter børsnoteringen, er formentlig blevet fanget på mellemhånd i deres uvidenhed om problemerne og den reelle risikokultur. Forløbet ligner således det, man har set i erhvervsskandaler over hele verden: Det egentlige problem har ikke ligget i, at det var for svært at gardere sig mod risiko. Det har ligget i, at direktionen bare har valgt at tage de store risici, og at bestyrelsen ikke har indset dette. Det har bragt fokus på et nyt begreb: Risikokultur.
Uden at forstå, hvordan den daglige ledelse og nøglepersoner i virksomheden tænker og handler i praksis i forhold til risici, har det formelle setup til risikostyring begrænset værdi. Det er en meget vanskelig disciplin at håndtere en risikokultur, fordi den netop ikke kan sættes op på formler. Men Matteo Tonello fra The Conference Board giver i en blog på Harvard Law School fem råd til, hvordan virksomhederne kan komme i gang:
Hold øje med trenden: Mens man endnu er langt fra en konsensus eller norm om, hvordan risikokultur skal håndteres, er der mange instanser, der arbejder med spørgsmålet. Dette arbejde må bestyrelsen følge. Instanserne omfatter f.eks. konsulenter, intern og ekstern revision, advokater, institutionelle investorer og aktivistiske investorer. Også myndighederne er begyndt at røre på sig med konkrete krav. De britiske myndigheder har f.eks. krævet, at eksterne revisorer skal erklære, at der efter deres viden ikke er forhold omkring risikoen, som bestyrelsen ikke viser den tilstrækkelige opmærksomhed.
Find benchmarks: Som ved al risikohåndtering er det et vilkår, at man må definere en tilstand, der er tilfredsstillende: Man kan i praksis ikke bruge resurserne på at eliminere enhver mikroskopisk risiko. Det er en god ide at finde et benchmark. Disse er det endnu småt med i henseende til risikokultur, og det vil også variere fra land til land og branche til branche, hvad man gør i henseende til risikokultur. Men myndighederne er f.eks. begyndt at komme med udtalelser om, hvad de forventer af virksomhederne.
Langt stærkere intern revision: En traditionel tilgang, hvor den interne revision foretager stikprøver af risikohåndteringen på udvalgte områder, har ikke afværget skandalerne. Derfor er der efter Matteo Tonellos opfattelse behov for, at bestyrelse og direktion i samarbejde går ”radikalt” hårdere til værks. Der skal defineres områder, hvor man ønsker vished for niveauet for risikotagning, og det skal ikke kun tjekkes ved stikprøver. Eksperter arbejder stadig med modeller for, hvordan en optrappet indsats kan ske i praksis.
Pas på med den amerikanske jura: Et tveægget sværd i risikostyringen er, at hvis en bestyrelse af bedste vilje bygger avancerede systemer for at undgå risici, så risikerer den at komme i klemme i det amerikanske retssystem: Når den har defineret en risiko, kan en modparts advokat altid argumentere for, at den har været for sløset med at eliminere eller begrænse samme risiko. Har man aktiviteter i USA, skal man være meget opmærksom på dette paradoks. Selv om det er en særlig amerikansk problemstilling, opfordrer Matteo Tonello også andre landes myndigheder til at være opmærksomme på, at de krav, man sætter op, ikke kommer til at straffe dem, der i virkeligheden er de gode i klassen.
Hold topchefen ansvarlig: Selv om det ofte har vist sig at være topchefen, der er roden til selve problemet, når der er en uhensigtsmæssig risikokultur i en virksomhed, kan det ikke være anderledes, end at det er samme topchef, der har ansvaret for, at alt er i orden. Dette skyldes bl.a., at det er topchefen, der skal sørge for, at virksomhedens ressourcer bliver allokeret optimalt. Men det vil styrke processen, hvis også en anden i topledelsen – f.eks. en risikochef eller en finansdirektør – står som ansvarlig i rapporteringen til bestyrelsen. Desuden skal bestyrelsen have informationer, der sætter den i stand til at vurdere, om de allokerede ressourcer til risikostyringen, herunder til at vurdere risikokulturen, er tilstrækkelige.
Sten Thorup Kristensen