En god tilnærming til risikostyring bør være tuftet på enkelthet og være praktisk innrettet.

Et velfungerende risikostyringsrammeverk bør være enkelt å bruke og lett å etterleve. Det handler om å rette fokus mot de risikoene som faktisk betyr noe for inntjening, verdi og omdømme. Gode prosesser kombinert med bruk av god og riktig metodikk er avgjørende for å kunne bidra til god virksomhetsstyring og godt eierskap til risiko. Hvordan gjennomfører vi så en god risikostyring basert på disse prinsippene?

Helhetlig risikostyring skal favne hele organisasjonen og har som formål å sikre virksomheten mot forhold som kan medføre større tap som igjen påvirker inntjening, verdi og omdømme. En viktig faktor for å lykkes i dette arbeidet er å sikre at gode prosesser, rutiner og kontrollsystemer er implementert og forankret i organisasjonen og at eierskapet til risikoområdet fremstår som tydelig fra så vel toppledelse og styre som operative enheter. Metoder og verktøy for helhetlig risikostyring bør utvikles og bygges på anerkjent ledende praksis og dette arbeid skal understøtte ledelsens ønske og behov for styring av risiko.

Praktisk tilnærming – Rammeverket for risikostyring

Det er flere måter å tilnærme seg helhetlig risikostyring på avhengig av forutsetninger og ambisjoner. For å demonstrere en måte man kan gjennomføre et risikostyringsprosjekt på illustreres best ved å vise til et prosjekt Deloitte gjennomførte for en større internasjonal kunde innen området risikostyring. Utgangspunktet var å bistå kunden i å utvikle en robust metode for et risikostyringsrammeverk for risikoer innrapportert fra selskapets operative enheter og staber. Utfordringen var å utvikle en metode som kunne konsolidere, aggregere og rapportere enkeltrisikoer til et proteføljesyn. Risikoene ble vurdert og analysert basert på et sett av strategier og målfunksjoner satt av selskapets ledelse. Metodikken resulterte i en ny form for hvordan risiko ble konsolidert, aggregert, konvertert, målt, rapportert og overvåket. Prosedyrer ble tatt i bruk av både konsern og de operative enhetene. Prosjektet og metodikken muliggjorde en vellykket konsolidering av en stor mengde risikoinformasjon som eksisterte på forskjellige nivåer og steder i organisasjonen og bidro til en mer effektiv risikostyringskultur hos kunden.

For å sikre en god gjennomføring av prosjektet definerte man i fellesskap klare mål, aktiviteter, leveranser og tidslinjer. Fem faser ble definert; etablering av ramme for prosjektet, gjennomgang av relevant dokumentasjon, utvikling av metodikk, definere pilot samt forankring og validering av løsninger. Den største utfordringen var å utvikle en metodikk som gjorde det mulig å oversette driftsspesifikke risikoer til konsernspesifikke risikoer. Risikoscenarioer ble definert. En konverteringsnøkkel ble bygget basert på en fellesnevner for målfunksjonen som gjorde det mulig å følge risiko fra driften ute i enhetene opp til toppnivået i konsernet. Leveranser fra prosjektet var; resultatet av avviksanalyser, dokumentert metodikk, policyendringer, endrede prosedyrebeskrivelser, konsolidert risikokart og risikoregister med tilhørende tiltaksplaner, risikorapport, implementeringsplan og kommunikasjonsplan.

Funnene fra risikoanalysen ble benyttet som input til de kvartalsvise strategi og ”business review” møtene som ble avholdt.

Praktisk tilnærming – Risikostyringsprosessen

Et annet selskap hadde som ambisjon å gjennomgå risikostyringen for å se på muligheter til forbedringer i prosesser og metodikk. Selskapet var en typisk prosjektorganisasjon hvor enkeltprosjekter var nokså ulike i både risikoprofil og prosjektgjennomføring. Prosjektorganisasjonen benyttet et felles metodeverk med tilhørende policyer og retningslinjer.

Risikostyringsplattformen ble vurdert for å kunne si noe om den var optimal i sin nåværende form eller ikke. Var det rom for forbedringer så skulle dette komme klart frem. Vi gjennomgikk plattformen og rammeverket med blant annet fokus på struktur og mandat. Hvordan fremstod eierskapet og forankringen til risiko i organisasjonen? Videre vurderte vi hvordan ledelsen forholdt seg til begrepet risikotoleranse. Som del av gjennomgangen belyste vi forhold basert på ledende praksis og hva denne sa om risikostyring generelt samt vurderte selskapets rammeverk for risikostyring opp mot sammenlignbare virksomheter i dag der dette var mulig?

Vi anbefalte å gjennomføre aktiviteter som det å;

• Vurdere kvalitet og omfang av eksisterende og nødvendig informasjon (tilgjengelighet og innhold) for å kunne styre bl.a. operasjonelle og finansielle risikoer på en optimal måte samt foreslå forbedringsområder
• Gjennomføre en avviksanalyse med utgangspunkt i hva som gjøres i dag, hvilke mangler forekommer og hvordan lukke eventuelle uønskede negative avvik gjennom styrte aktivitetsplaner
• Etablere risikokartet og risikoregisteret basert på konsekvens, sannsynlighet og kontrolleffektivitet. Risikoer blir prioritert etter viktighet og størrelse.
• Vurdere samt gi innspill på roller og ansvar knyttet til risikostyringen så vel sentralt som lokalt
• Gjennomgå eksisterende policyer, prosedyrer og mandater samt foreslå områder for forbedringer
• Risikorapporteringen inklusiv status og forslag til forbedringer med fokus på mottakere, frekvens, format og innhold
• Validere samt foreslå forbedringer i systemer og metodikk ved risikovurderingen der dette er aktuelt.
• Vurdere kvaliteten i prosessene rundt investeringsbeslutninger fra et risikoperspektiv der dette er aktuelt
• Vurdere styringen av finansielle risikoer for å se hvorvidt den operasjonelle og finansiell risikoen blir sett i sammenheng, og om ledelsesrapporteringen reflekterer risikobildet.

Metodikk

I det følgende har vi skissert noen metoder Deloitte benytter seg av når det jobbes med prosjekter innen helhetlig risikostyring. Bruken av prosess og metodikk kan være noe forskjellig avhengig av type virksomhet samt prosjektets struktur og kompleksitet.

Metode 1: Risk Intelligent Enterprise™
Deloitte har utviklet en metode vi kaller Risk Intelligent Enterprise™. Denne styrer risiko fra to perspektiver – beskytte dagens virksomhet samt sikre fremtidig verdiskaping. Hensikten er å skape et overordnet og integrert bilde av risikoer som selskapet et eksponert mot. Verdien av denne metodikk ligger i evnen å kunne på en systematisk måte identifisere hendelser som forårsaker det vi kaller både lønnsom og ulønnsom risiko. Ulønnsom risiko kan være mangel på integritet i den finansielle rapporteringen, mangelfull etterlevelse av lover og regler samt risiko knyttet til operasjonelle forhold. Ulønnsom risiko gir i utgangspunktet ikke noen oppside i form av gevinst. Lønnsom risiko på sin side er tett knyttet opp mot gjennomføring av strategier. Det å være en Risk Intelligent Enterprise™ har følgende karakteristika:

• Risikostyringen skal omfatte hele organisasjonen og binde sammen silo-prosesser som ofte forekommer i større og mer komplekse organisasjoner
• Risikostyringen skal støtte strategier som adresser det fulle spekter av risikoer inklusiv det som er industrispesifikk, etterlevelse, konkurrenter, miljø, strategi, rapportering, osv.
• Risikostyringen skal ikke kun ta hensyn til enkelthendelser, men også risikoscenarioer og samvariasjoner mellom flere typer risikoer
• Risikostyringen skal være en del av kulturen i selskapet, slik at strategi og beslutninger som foretas baseres på en god risikoforståelse
• Risikostyringen skal være basert på en filosofi som ikke kun konsentrere seg om å unngå risiko, men også ta risiko som danner grunnlaget for god verdiskaping i selskapet

Risk Intelligent Enterprise™ metodikken omhandler ni fundamentale prinsipper som er gruppert i tre ansvarsområder – styre/eiere, ledelse og forretningsenheter.

Klikk på modellen for større versjon

Styrets ansvar er først og fremst å bli enig om en felles definisjon av risiko. Et felles rammeverk skal støttes av gode standarder som skal brukes i hele organisasjonen. Roller, ansvar og autoritet relatert til risikostyring skal være definert. De styrende organene (som styre og revisjonskomité) må sikre tilstrekkelig transparens for å ha mulighet til å se inn i organisasjonens risikostyringspraksis for å kunne utføre sin styrende rolle.

Ledelsens ansvar er primært å utvikle, implementere, vedlikeholde og forankre et effektivt risikostyringsrammeverk. En felles infrastruktur må foreligge for å kunne betjene forretningsenheter og støttefunksjoner i arbeidet med risikostyring. Funksjoner som internrevisjon og risk management skal på sin side overvåke og rapportere på forhold knyttet til risikostyringens effektivitet til styrende organer.

Forretningsenhetene på sin side er ansvarlige for styringen av den operative, daglige risikoen som vedrører deres del av selskapets totale virksomhet. Funksjoner som finans, juridisk, skatt, IT og HR har en gjennomgripende effekt på virksomheten og skal således gi støtte til forretningsenhetene i spørsmål knyttet til selskapets risikostyringsrammeverk. Prinsippet er at eier du forretningsenheten, eier du også risikoen.

Metode 2: The Risk Intelligence Map™
Deloitte har utviklet sin Risk Intelligence Map™ metodikk. Denne gir en unik oversikt over alle typer risikoer som ledere og ansatte finner nyttig når risiko skal identifiseres. Kartet blir benyttet som en praktisk guide i det å skape en forståelse av risikobildet. Det hjelper ansatte i det å bredde deres forståelse av risiko samt forbedre deres mulighet til å utføre sitt daglige ansvar hensyntatt risiko.

Risk Intelligence Map™ bidrar til å:

• Spore til diskusjoner rundt identifiseringen, prioritering og måling av risiko
• Tydeliggjøre sammenhenger mellom ulike risikoer og strategiske mål
• Identifisere overflødige risikoreduserende tiltak
• Øke evnen til etterlevelse og håndtering av risikoreduserende tiltak
• Utvikle risikosenarioer som krever samhandlende tiltak

Metodikken sikrer på denne måten en helhetlig tilnærming til risiko, og gjør selskapet bedre i stand til å prioritere de kritiske risikoene som faktisk betyr noe. Gode diskusjoner av de underliggende driverne av risiko bidrar også til et bedre eierskap til styringen av risiko, samt oppfølging av risikoreduserende tiltak og kontrollaktiviteter forbundet med dette.

Metode 3: Risikostyringshjulet
Risikostyringshjulet beskriver prosessen og aktivitetene for å kunne gjennomføre en komplett risikoanalyse. Den begynner med en tilstandsanalyse og slutter med hvordan gjennomføringen av risikostyringen implementeres. Hjulet består av ni prosesser som hver for seg eller samlet tar for seg gangen i en komplett risikoanalyse. Her kan det om ønskelig også være aktuelt å fokusere på enkeltelementer i hjulet. Hensikten er å sikre at denne prosessen skaper tilstrekkelig trygghet for ledelsen og ansatte i at rammeverket for risikostyringen er pragmatisk, vurderer og responderer på de behov virksomheten måtte ha og er i tråd med anerkjente ledende standarder for god praksis på området.

Klikk på modellen for større versjon

For hvert av stegene i prosessen har vi skissert konkrete aktiviteter som må gjennomføres samt en oversikt over alternative leveranser. Denne er ikke uttømmende men gir en god ide og oversikt over det som søkes oppnådd gjennom denne prosessen.

Klikk på modellen for større versjon

Metode 4: COSO Helhetlig risikostyring – et integrert rammeverk   
COSO ERM er en vel anerkjent internasjonal standard som ofte benyttes for å vurdere kvaliteten i risikostyringen i virksomheter. Standarden er et relativt omfattende rammeverk hvor prinsippene reflekterer en etablert organisasjonsstruktur og struktur for risikostyring som har vært virksom over en lengre periode.

COSO-rammeverket for helhetlig risikostyring er illustrert som en kube med tre flater som representerer ulike dimensjoner og områder. Rammeverket er illustrert på følgende måte:

• Fremsiden av kuben viser de åtte hovedområdene i rammeverket. Disse åtte komponentene med tilhørende underpunkter utgjør hovedstrukturen i gjennomgangen av risikoanalysen.
• 
  
• Den høyre siden av kuben illustrerer at rammeverket skal implementeres i virksomhetens ulike nivåer og enheter.
• 
  
• Den øvre siden illustrerer at risikostyring utøves innen rammen av organisasjonens målsettinger, og viser de fire målsettingskategoriene knyttet til strategi, drift, rapportering og etterlevelse.

Ved bruk av rammeverket skal hver av de åtte komponentene vurderes i lys av virksomhetenes målsettinger og hvordan de anvendes på ulike organisasjonsnivåer i virksomheten.

Det vi normalt gjør er å analysere hvordan risikostyringen i selskapet håndteres i dag basert på de åtte komponentene i rammeverket. Vi definerer så hva ledende praksis sier innen hver av disse åtte områdene samt kartlegger hvor avvik fra standard og praksis oppstår. Vi utarbeider så forslag til løsninger eller forbedringer samt en tiltaksplan for aktiviteter som må føles opp.

Artikkelforfatter
Atle Farstad er assosiert partner i Deloitte. Han har bl.a. erfaring fra 20 års arbeid innen området risikostyring i mange dimensjoner som det å utvikle og implementere helhetlig risikostyringsaktiviteter i praksis med vekt på rammeverk, mandater, policyer og standarder. Videre har han erfaringer fra risikostyring sett mot toppledelsens strategiske beslutningsprosesser med fokus på verdi- og lønnsomhetsvurderinger samt kapital allokering under usikkerhet og risikovurderinger sett mot selskapers finansielle styrings- og planleggingsprosesser.

For sitt arbeid innen risikostyring ble han i 2004 tildelt en pris som ”The European Risk Manager of the Year” i regi av Strategic Risk Magazine i London.

Atle Farstad Assosiert Partner Consulting +47 97 75 55 70