Hjem Forretningsutvikling Risiko Rammeverk for risikostyring

Rammeverk for risikostyring

21/11/2022

Denne artikkelen er del 11 av 11 artikler om Risiko- og sårbarhetsanalyser (ROS)

Sim Segal (2011) har satt opp et rammeverk bestående av 10 hovedkriterier for at selskapets risikostyring. Kriterier som må være oppfylt for å få til en effektiv og pålitelig risikostyring.

Innholdsfortegnelse

1. Må omfatte alt og alle

Risikostyring må implementeres i alle divisjoner, avdelinger og områder av selskapet, da vi aldri vet hvor en risikofylt hendelse vil inntreffe i organisasjonen. Ofte er det slik at uventede hendelser oppstår der selskapet ikke forventet hendelsen, samtidig som vi har en tendens til å overfokusere på områder vi personlig anser som risikofylte.

2. Mo omfatte alle risikoformer

For å få til en effektiv risikostyring og en helhetlig oversikt over risikoen vår, må risikostyringssystemet inkludere alle former for risiko. De tre hovedkategoriene er finansiell risiko, strategisk risiko og operasjonell risiko.

Faren ved å ignorere en risikoform eller ved å ikke ha et balansert fokus på tvers av risikoformene, er at det kan gi unødvendig høy risikoeksponering for virksomheten og en feilfordeling av ressurser brukt på begrensningtiltak. Tradisjonelt har organisasjoner i alle bransjer hatt et ensidig fokus på finansiell risiko. Senere empiri viser at både operasjonell og strategisk risiko er en langt større del av den totale risikoeksponeringen til virksomheten enn før antatt.

3. Fokus på nøkkelrisikoer

Programmet for risikostyring skal i utgangspunktet kun fokusere på nøkkelrisikoer virksomheten står overfor. Risikostyring er strategisk rettet og fokuserer på en relativt liten liste av risikoer som har størst potensiell innvirkning på selskapsverdien. Det er viktig å merke seg at antall nøkkelrisikoer ikke avhenger av størrelsen til selskapet.

Bakgrunnen for et fokus på nøkkelrisiko, baserer seg på styret og toppledelsen, og deres begrensede evner til å fokusere på et for stort antall risikoer. Det er bare én CEO, ett styre og én toppledelse i et selskap. Størrelsen på de potensielle risikoene og risikotypen vil selvfølgelig variere fra selskap til selskap, men antallet vil være noenlunde det samme. Dette er en rak motsetning til måten mange selskaper tilnærmer seg risikostyring. De lager en uendelig lang liste over alle potensielle risikoer selskapet står ovenfor.

4. Integrering på tvers av risikoformer og virksomhetsområder

Tilnærmet alle virksomheter har i utgangspunktet en eller annen form for risikostyring fra den dagen de ble startet. Begrensningen i risikostyringen til mange av dagens virksomheter er hvordan hver enkelt type risiko blir styrt og håndtert isolert. Informasjonsteknologirisiko håndteres av IT-avdelingen, menneskerelatert risiko håndteres av HR-avdelingen, osv. Uheldigvis fører denne silotilnærmingen med seg tre vesentlige ulemper:

Ufullstendig:

Risikostyring på silomåten har en farlig svakhet ved at det gir et ufullstendig bilde av selskapets risikoprofil. Metoden fanger opp de fleste grunnleggende typene risiko, men kun der ett risikoscenario inntreffer av gangen. Dette er et godt fundament, men det er også viktig å inkludere risiko som potensielt kan opptrer samtidig, enten det er tilfeldig korrelasjon eller underliggende kausale eller statistiske sammenhenger. Silorisikostyring ignorerer risikokorrelasjon på tvers av organisasjonen og det er ofte urealistisk at bare en risikohendelse opptrer om gangen. Virkeligheten involverer langt mer usikkerhet og kompleksitet.

Silomåten utelater også de største truslene mot virksomheten. Dette fordi det ofte er når flere risikohendelser opptrer samtidig, de største truslene mot virksomheten oppstår. Etter den første hendelsen er virksomheten svekket og det øker sannsynligheten for at en ny hendelse skal inntreffe. I tillegg kan risikoer skalere hverandre i enten negativ eller positiv forstand. Selv to risikohendelser med kun nedsidepotensiale kan delvis oppveie hverandre.

Ineffektivt:

Dersom en behandler hver risikotype isolert kan det føre til flere former for ineffektivitet. Et eksempel er at en betaler for mye ved for eksempel separate sikringkjøp for relatert risikoeksponering i flere deler av virksomheten. Dette kan øke den totale kostnaden ved risikobegrensning. Dårlig kommunikasjon kan være et annet resultat. Mangelen av en standardisert tilnærming og felles rammeverk kan forhindre spredningen av «best practice» i risikostyringen. Kanskje mest kostbart er begrensninger i forhold til å effektivt dele erfaringer og lærdom fra historiske feil, som lett kan gjøre at andre avdelinger gjentar feilen. Risikostyring systemet søker å integrere styring og kontroll på tvers av risikotyper og virksomhetsområder for å fjerner ineffektivitet. Resultatet kan bli mer effektive og overveide risikobegrensningtiltak og effektiv deling av informasjon i hele organisasjonen.

Internt inkonsekvent:

Den tredje ulempen ved silorisikostyring, er at organisasjonen kanskje vil ha inkonsekvente prognoser for fremtiden relatert til markedet. Virksomhetsområdene kan ende opp med å utvikler uavhengige risikoscenarioer med forskjellige grunnleggende antakelser. Kommunikasjon og koordinering gjennom risikostyring prosessen sørger for at virksomheten fastsetter ett enkelt sett av prognoser for markedet internt i virksomheten.

5. Aggregerte måltall

Et risikostyringssystemet skal gi muligheten til å aggregere måltall for risikoeksponering på selskapsnivå. På denne måten kan en gjøre overordnede risikobeslutninger på øverste nivå i selskapet. På et aggregert nivå er det måltall for total risikoeksponering og risikoappetitt som er av interesse. Total risikoeksponering kalkuleres ved en bunn-topp tilnærming, der risikoeksponeringen i de ulike virksomhetsområdene blir summert. Korrelasjon blir inkludert ved aggregering med hensyn på simultane risikohendelser. Dette er et rent kvantitativt mål og bygger på interne risikokalkuleringer.

Risikoappetitt på den andre siden er et kvalitativt mål satt av ledelsen og styret på hvor høy total risikoeksponering selskapet finner akseptabelt. Risikoappetitt beregnes først på selskapsnivå og dernest disaggregeres risikoappetitt ned i virksomhetsområdene.

Risikoappetitt på virksomhetsområdenivå benevnes som risikogrenser. Risikoappetitt og risikoeksponering uttrykkes med en sannsynlighet og innvirkning på selskapet. Et godt aggregert måltall på risiko er selskapsverdi. Da vil total risikoappetitt for eksempel være at sannsynligheten for å tape 6 % av selskapets verdi, ikke skal overstige 14 %.

Flere selskaper opererer fortsatt med silorisikostyring og har derfor ikke disse aggregerte elementene i sin overordnede risikostyring. Men uten disse to aggregerte målene, kan faktisk ikke risikostyringen utføre sin hovedfunksjon, som er å håndtere og holde selskapets totale risikoeksponering innenfor selskapets risikoappetitt.

Evnen til å produsere disse aggregerte måltallene er også viktig fordi det er det første steget i beslutningsprosessen i risikostyring. Tradisjonell risikostyring der risikogrensene settes med utgangspunkt i de ulike virksomhetsområdene vil kunne føre til for lav eller for høy risikobegrensning. En bunn-topp tilnærming resulterer i en ineffektiv bruk av ressursene i organisasjonen, og særlig i finansinstitusjoner der kapitalallokering er en veldig utbredt utfordring.

Risikostyring introduserer en logisk tilnærming til styring av den totale volatiliteten og gir uttrykk for ønsket stabilitet i selskapet og sjokkresistans for ledelsen. Dette er viktig fordi aksjonærer og potensielle investorer også vil ha en slik tilnærming ved vurdering av selskapet. Når risikoeksponering er kalkulert, risikoappetitt er definert på selskapsnivå og risikogrensene er satt for de ulike virksomhetsområdene eller forretningsprosessene, kan mellomledelsen ta beslutninger på lavere nivå.

6. Inkludert i selskapets beslutningstaking

Det har vist seg at mange tradisjonelle risikostyringssystemer hovedsakelig fokuserer på å identifisere, kvantifisere og rapportere risiko til ledelsen og styret. Svakheten med denne tilnærmingen er at risikostyringen får redusert verdi og kan virke overflødig. Risikostyring prosessen fokuserer på å faktisk bruke risikoinformasjon innhentet i tidligere steg til å fatte beslutninger og iverksette konkrete tiltak for å begrense risikoeksponeringen.

7. Balansert styring av «Risk-Return»

Et annet aspekt ved å inkludere risikostyring selskapets strategiske beslutningsprosess, er at risikostyring ikke kun involverer risikobegrensning. Tidligere fokuserte ledelsen kun på de negative sidene av risiko. Dette førte til at risikoledelsen ofte sa nei til prosjekter, for å forhindre at virksomhetsområder tok på seg mer risiko. Oppsidepotensialet ble tradisjonelt ikke veid opp mot nedsiden av risiko på en fornuftig måte. På grunn av at potensiell oppsiderisiko for prosjektene ikke ble vurdert, unngikk mellomledere å inkludere risikoledelsen i vurderingen og den endelige avgjørelsen av iverksetting av nye prosjekter. Risikostyring ønsker å inkludere både oppside- og nedsidepotensialet for å kunne gi riktige beslutningsgrunnlag for ledelsen og avveininger i forhold til risk-return på prosjekter og andre driftsrelaterte beslutninger.

8. Korrekt synliggjøring av risiko

Ved implementering av risikostyring er det sjeldent at det avdekkes nye typer risiko. Dette fordi ledelsen og selskapet allerede har oversikt over nøkkelrisikoene selskapet står ovenfor. En kraftig oversett risiko, på den andre siden, er risikoen for ukorrekt rapportering og synliggjøring av risiko. Med rapportering og synliggjøring i denne sammenhengen menes ekstern informasjonsdeling og kommunikasjon med aksjonærene og andre stakeholders for å gi dem innsikt i selskapets risikobilde og det helhetlige programmet for risikostyring.

En signifikant risiko er ofte meget svak sammenheng mellom det som blir kommunisert til eksterne aktører og det faktiske risikostyring programmet i virksomheten. Riktig og oversiktlig kommunikasjon av risikoinformasjon gir virksomheten et bedre utgangspunkt for å forsvare seg ved potensielle risikohendelser. Problemet oppstår ofte når virksomheten ikke informerer om risikoenes potensielle konsekvens på aksjonærverdier. Dersom virksomheten forbereder aksjonærene på forhånd, gjennom kontinuerlig kommunikasjon, vil aksjonærene kunne være mer støttende og forståelsesfulle.

Mulige forklaringer på hvorfor virksomheter ikke presenterer potensielle nøkkelrisikoer med tilhørende konsekvens for selskapsverdien, er blant annet at selskaper ikke har anledning til det. I dette ligger det at de faktisk ikke har et system eller en prosess for å måle risikoens innvirkning på selskapsverdi. En annen forklaring er også at de ikke ønsker å dele denne informasjonen med offentligheten på grunn av konkurransehemmende effekter.

9. Måle risikoens verdipåvirkning

I risikostyring representerer ordet verdi betydningen av å bruke overordnede måltall i kvantifiseringsprosessen av risiko. Virksomheten trenger måltall som fanger opp verdien av selskapet for aksjonærene og potensielle investorer. Ledelsen trenger også måltall som kan støtte opp under deres beslutninger og prestasjonsledelse. Dersom selskapet handles på børsen, vil den viktigste eksterne aktøren være aksjonærene. Aksjonærverdier representeres av markedskapitalisering. Markedskapitalisering defineres som aksjepris multiplisert med antall utestående aksjer. Overfor ledelsen defineres aksjonærverdi som selskapets verdi. Selskapets verdi vil i denne sammenhengen være gitt ved en intern verdivurdering i forhold til hva selskapets er verdt for hovedaksjonærene. Selskapsverdi er i sammenheng med risikostyring en intern verdivurdering basert på generelle verdsettelsemodeller, inkludert intern informasjon.

Ledelsen kan bruke selskapsverdi som et meget effektivt risikomål. Grunnen til dette er at risikoscenarioer kan kvantifiseres med utgangspunkt i innvirkning på baseline value. Baseline value defineres som verdien av selskapet ved en discounted cash flowverdsettelse, dersom alt går etter selskapets forventinger. Avvik fra forventingene vil blir sett på som risikohendelser. Dermed er baseline value det en investor ville betalt for selskapet i dag, dersom de trodde at selskapet vil ha evne til å utføre sin strategiske plan perfekt og at alt vil gå etter selskapets forventninger. Likevel bruker de færreste selskaper en intern verdivurdering av selskapet av ledelsesgrunner, og enda færre bruker dette målet som en del av risikostyringen.

Ofte blir risiko kvantifisert i kortsiktige måltall som påvirkningen dagens balanse eller neste års resultat. Ettersom risikohendelser kan påvirke selskapet i lang tid fremover vil slike kortsiktige måltall ikke være tilstrekkelig for å fange opp den totale risikopåvirkningen på selskapet, og vil heller ikke fungere optimalt som informasjon i selskapets strategiske beslutningsprosess.

10. Hovedfokus på aksjonærene

I tradisjonell risikostyring er det ofte slik at ledelsen fokuserer og basere sin risikostyring på å opprettholde kreditt-rating ovenfor ratingbyråene. I tillegg fokuserer finansinstitusjonene også tungt på å overholde regulatoriske krav og spesielt anvises det da til regulatoriske kapitalkrav.

Tradisjonelt har f.eks. finansinstitusjonenes risikostyring fokusert helt og holdent på å tilfredsstille regulatorene. På den ene siden er dette forståelig på grunn av tradisjonell risikostyrings ensidig fokus på negativ risiko og risikobegrensning. På den andre siden er ERMs tilnærming til risikostyring mer strategisk, og inkluderer også potensielle positive konsekvenser av risiko.

Risikostyring fokuserer også på overordnede måltall for selskapet, nemlig selskapsverdi og ikke regulatorisk kapital og økonomisk kapital. Regulatorer og ratingbyråer er fremdeles viktige, men kommer i andre rekke etter aksjonærene.

Av den grunn er det ikke optimalt å gjøre regulatorene og ratingbyråene maksimalt fornøyde, fordi det ofte kommer på bekostning av aksjonærene. Eksempel på dette er finansinstitusjoner som holder for mye reservekapital kun for å blidgjøre ratingbyråene. For mye reservekapital resulterer i at en ikke får investert denne kapitalen i andre lønnsomme prosjekter og går glipp av fremtidig vekst og avkastning.

Kilder:

Segal, Sim (2011), Corporate Value of Enterprise Risk Management : The Next Step in Business Management. Hoboken, NJ, USA: Wiley.
https://brage.bibsys.no/xmlui/bitstream/handle/11250/223994/masterthesis146.pdf

Du leser nå artikkelserien: Risiko- og sårbarhetsanalyser (ROS)

Gå til neste / forrige artikkel i artikkelserien: << Risikostyring / Enterprise Risk Management (ERM)

Andre artikler i serien er:

Risiko og sårbarhetsanalyse (ROS)

Risikoformer

Risikoprofil og risikoeksponering

Risikomatrise

Bayesianske nettverk

Arbeidsmodell for risikoanalysen

Konsekvensanalyse

Risikoreduserende tiltak

Forebygging og utbedring

Risikostyring / Enterprise Risk Management (ERM)

Rammeverk for risikostyring

Cookie	Duration	Description
nsid	session	This cookie is set by the provider PayPal to enable the PayPal payment service in the website.
tsrce	3 days	PayPal sets this cookie to enable the PayPal payment service in the website.
x-pp-s	session	PayPal sets this cookie to process payments on the site.

Cookie	Duration	Description
d	3 months	Quantserve sets this cookie to anonymously track information on how visitors use the website.
l7_az	30 minutes	This cookie is necessary for the PayPal login-function on the website.
swpm_session	session	This cookie is set by the Simple WordPress Membership Plugin. This cookie is used for membership login session and to provide access to the protected content on the website.This cookie keeps the login records so user don't want to authorise each time while moving to next page.
_gat	1 minute	This cookie is installed by Google Universal Analytics to restrain request rate and thus limit the collection of data on high traffic sites.

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
__gads	1 year 24 days	The __gads cookie, set by Google, is stored under DoubleClick domain and tracks the number of times users see an advert, measures the success of the campaign and calculates its revenue. This cookie can only be read from the domain they are set on and will not track any data while browsing through other sites.

Cookie	Duration	Description
anj	3 months	AppNexus sets the anj cookie that contains data stating whether a cookie ID is synced with partners.
c	20 years	This cookie is set by Rubicon Project to control synchronization of user identification and exchange of user data between various ad services.
CMID	1 year	Casale Media sets this cookie to collect information on user behavior, for targeted advertising.
CMPRO	3 months	CMPRO cookie is set by CasaleMedia for anonymous user tracking, and for targeted advertising.
CMPS	3 months	CMPS cookie is set by CasaleMedia for anonymous user tracking based on user's website visits, for displaying targeted ads.
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
mc	1 year 1 month	Quantserve sets the mc cookie to anonymously track user behaviour on the website.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
uuid	3 months	MediaMath sets this cookie to avoid the same ads from being shown repeatedly and for relevant advertising.
uuid2	3 months	The uuid2 cookie is set by AppNexus and records information that helps in differentiating between devices and browsers. This information is used to pick out ads delivered by the platform and assess the ad performance and its attribute payment.

Cookie	Duration	Description
CMTS	3 months	No description
cocat1	session	No description
cscat1	session	No description
KHcl0EuY7AKSMgfvHl7J5E7hPtK	20 years	No description available.
LANG	9 hours	No description
sc_f	5 years	No description available.