Bestyrelsens ansvar

Sikr vækst og fortsat eksistens gennem proaktiv risikostyring

God selskabsledelse kræver - også - risikostyring

Etablér hensigtsmæssige risikostyrings-systemer

Fondsbørsens komité for god selskabsledelse anbefaler:

»Effektiv risikostyring er en forudsætning for, at bestyrelsen på bedst mulig måde kan udføre de opgaver, som det påhviler den at varetage. Det er derfor væsentligt, at bestyrelsen påser, at der etableres hensigtsmæssige systemer til styring af risici, og i øvrigt sørger for, at sådanne systemer til enhver tid opfylder selskabets behov.«

 

Fastlæggelse af mål med risici for øje

Bestyrelsen bør fastsætte mål, udarbejde strategi og udpege delmål underlagt den overordnede vision for organisationen. Målene er en forudsætning for, at bestyrelsen og direktionen kan identificere begivenheder med potentiel indvirkning på opnåelse af disse mål.

Dette kan sammenfattes således:

  • Enhver virksomhed står over for en række forskellige risici fra eksterne og interne kilder, der delvist udspringer af virksomhedens strategi
  • Det er en forudsætning for effektiv risikostyring, at der fastlægges mål for virksomheden
  • Mål fastlægges på strategisk niveau og er grundlag for mål vedrørende driften, rapportering og compliance.
  • Målene rettes ind efter virksomhedens risikovillighed.

 

Gevinster ved risikostyring

Ingen virksomheder opererer i et risikofrit miljø, men med styret operationel risikostyring kan bestyrelsen og direktionen gøre sig i stand til at manøvrere effektivt i risikofyldte miljøer. God risikostyring styrker evnen til at:

  • Tilpasse risikovillighed i forhold til strategi
  • Sammenkæde vækst, risiko og afkast
  • Styrke beslutninger om reaktion på risiko der går over jeres risikoappetit
  • Minimere driftsmæssige overraskelser og tab
  • Identificere og styre risici på tværs af virksomheden
  • Sikre fuldstændig håndtering af mangeartede risici
Læs mere om risikostyring

Konkret udførelse

Det interne risikostyringsmiljø

Virksomhedens interne miljø udgør fundamentet for risikostyring og angiver tonen i virksomheden. Det interne miljø påvirker medarbejdernes risikobevidsthed, er grundlaget for hele risikostyringen og afgør hvordan risici identificeres, vurderes og håndteres.

Faktorer i det interne miljø omfatter bl.a.:

  • Virksomhedens filosofi omkring risikostyring
  • Risikovillighed og risikokultur
  • Ledelsens filosofi og ledelsesstil, samt den måde ledelsen uddeler beføjelser og ansvar på
  • Risiko-kompetence hos de ansatte

 

Identifikation af begivenhed

Som et led i identifikation af begivenheder, der kan påvirke realisering af virksomhedens mål, bør direktionen overveje såvel eksterne som interne faktorer:

  • Identifikation af potentielle begivenheder (interne som eksterne), som kan påvirke virksomhedens evne til at implementere strategien og opnå de fastlagte mål
  • Skelnen mellem risici og muligheder:
    • begivenheder, der kan have en negativ effekt, er udtryk for risici
    • begivenheder, der kan have en positiv effekt, er udtryk for muligheder, som ledelsen kanaliserer tilbage til strategi- og målfastlæggelsesprocessen.

 

Risikovurdering

Gennemførelse af en risikovurdering gør det muligt for virksomheden at identificere, i hvilket omfang mulige begivenheder kan påvirke målopfyldelsen:

  • Ved risikovurderingen overvejer virksomheden, i hvilket omfang mulige begivenheder kan påvirke målopfyldelsen
  • Risici vurderes ud fra både sandsynlighed og påvirkning/konsekvens
  • Der anvendes en kombination af kvalitative og kvantitative metoder
  • Tidshorisonten er den samme som tidshorisonten for målopfyldelse.

 

Risikorespons

Ledelsen bør opstille en politik for risikostyring, som virksomheden skal agere inden for. Risikostyringspolitikken bør dels indeholde de organisatoriske rammer for risikostyringen og dels sætte klare mål for virksomhedens risikovillighed og politik for kontrol og overvågning.

Herudover bør politikken identificere de områder – eksternt og internt i forhold til virksomheden – som har ledelsens særlige bevågenhed, samt stille krav til, hvorledes rapportering vedrørende risici skal finde sted.

Ledelsens risikorespons i form af valgmuligheder for afdækning af risiko kan skitseres således:

  • Undgå risiko ved valg af en anden strategi
  • Reducér sandsynlighed for, at risici opstår ved forebyggende foranstaltninger
  • Reduktion af konsekvens af en indtruffen skade ved etablering af beredskab og daglige rutiner.

Kontrolaktiviteter

Kontrolaktiviteter er de principper og procedurer, der er med til at sikre, at en risikorespons gennemføres hensigtsmæssigt og den udføres gennem hele organisationen, på alle niveauer og i alle funktioner.

Kontrolaktiviteterne er et led i den proces, hvor en virksomhed stræber efter at opnå sine forretningsmæssige mål, og omfatter en række aktiviteter:

  • Godkendelser
  • Verifikationer
  • Afstemninger

 

Information og kommunikation

Der er behov for informationer på alle organisationsniveauer med henblik på at identificere, vurdere og reagere på risici for at kunne realisere virksomhedens mål:

  • Ledelsen identificerer, indsamler og kommunikerer relevante informationer på en måde og inden for en tidsramme, der gør det muligt for medarbejdere at udføre deres arbejdsopgaver
  • Alle i organisationen forstår deres rolle i relation til risikostyringen.
  • Ledelsen bruger et rapporterings -og kommunikationsværktøjer der gennem deres opsætning automatisk deler den nødvendige information til de rette funktioner.

Relevante informationer stammer fra såvel interne som eksterne kilder og kan præsenteres i enten kvantitativ eller kvalitativ form. Informationerne skal gøre det muligt rettidigt at tilpasse risikostyring i forhold til ændrede forhold, og ikke først når året er gået.

 

Overvågning og rapportering

Risikostyringsprocessen bør overvåges gennem et forløb, hvor både tilstedeværelsen af og kvaliteten af de enkelte risikostyringstiltag vurderes over en tidsperiode.

Overvågning sker gennem en kombination af:

  • Løbende automatiske overvågningsaktiviteter
  • Separate og specifikke vurderinger
  • Mangler i risikostyringen rapporteres opad - og rundt - i organisationen
  • Rapporteringssystemer bør automatisk rapportere alvorlige forhold til direktionen og bestyrelsen
Enterprise Risk Management