Rammeverk for risikostyring


   Domene + webhotell + epost = kr. 198/år
   Tast inn domene du ønsker å bestille webhotell til:

http://

  
  
  

    Denne artikkelen er del 12 av 12 artikler om Risiko- og sårbarhetsanalyser (ROS)

Sim Segal (2011) har satt opp et rammeverk bestående av 10 hovedkriterier for at selskapets risikostyring. Kriterier som må være oppfylt for å få til en effektiv og pålitelig risikostyring.

1. Må omfatte alt og alle

Risikostyring må implementeres i alle divisjoner, avdelinger og områder av selskapet, da vi aldri vet hvor en risikofylt hendelse vil inntreffe i organisasjonen. Ofte er det slik at uventede hendelser oppstår der selskapet ikke forventet hendelsen, samtidig som vi har en tendens til å overfokusere på områder vi personlig anser som risikofylte. 

2. Mo omfatte alle risikoformer

For å få til en effektiv risikostyring og en helhetlig oversikt over risikoen vår, må risikostyringssystemet inkludere alle former for risiko. De tre hovedkategoriene er finansiell risiko, strategisk risiko og operasjonell risiko.

Faren ved å ignorere en risikoform eller ved å ikke ha et balansert fokus på tvers av risikoformene, er at det kan gi unødvendig høy risikoeksponering for virksomheten og en feilfordeling av ressurser brukt på begrensningtiltak. Tradisjonelt har organisasjoner i alle bransjer hatt et ensidig fokus på finansiell risiko. Senere empiri viser at både operasjonell og strategisk risiko er en langt større del av den totale risikoeksponeringen til virksomheten enn før antatt. 

3. Fokus på nøkkelrisikoer

Programmet for risikostyring skal i utgangspunktet kun fokusere på nøkkelrisikoer virksomheten står overfor. Risikostyring er strategisk rettet og fokuserer på en relativt liten liste av risikoer som har størst potensiell innvirkning på selskapsverdien. Det er viktig å merke seg at antall nøkkelrisikoer ikke avhenger av størrelsen til selskapet.

Bakgrunnen for et fokus på nøkkelrisiko, baserer seg på styret og toppledelsen, og deres begrensede evner til å fokusere på et for stort antall risikoer. Det er bare én CEO, ett styre og én toppledelse i et selskap. Størrelsen på de potensielle risikoene og risikotypen vil selvfølgelig variere fra selskap til selskap, men antallet vil være noenlunde det samme. Dette er en rak motsetning til måten mange selskaper tilnærmer seg risikostyring. De lager en uendelig lang liste over alle potensielle risikoer selskapet står ovenfor.

4. Integrering på tvers av risikoformer og virksomhetsområder

Tilnærmet alle virksomheter har i utgangspunktet en eller annen form for risikostyring fra den dagen de ble startet. Begrensningen i risikostyringen til mange av dagens virksomheter er hvordan hver enkelt type risiko blir styrt og håndtert isolert. Informasjonsteknologirisiko håndteres av IT-avdelingen, menneskerelatert risiko håndteres av HR-avdelingen, osv. Uheldigvis fører denne silotilnærmingen med seg tre vesentlige ulemper:

Ufullstendig:

Risikostyring på silomåten har en farlig svakhet ved at det gir et ufullstendig bilde av selskapets risikoprofil. Metoden fanger opp de fleste grunnleggende typene risiko, men kun der ett risikoscenario inntreffer av gangen. Dette er et godt fundament, men det er også viktig å inkludere risiko som potensielt kan opptrer samtidig, enten det er tilfeldig korrelasjon eller underliggende kausale eller statistiske sammenhenger. Silorisikostyring ignorerer risikokorrelasjon på tvers av organisasjonen og det er ofte urealistisk at bare en risikohendelse opptrer om gangen. Virkeligheten involverer langt mer usikkerhet og kompleksitet.

Silomåten utelater også de største truslene mot virksomheten. Dette fordi det ofte er når flere risikohendelser opptrer samtidig, de største truslene mot virksomheten oppstår. Etter den første hendelsen er virksomheten svekket og det øker sannsynligheten for at en ny hendelse skal inntreffe. I tillegg kan risikoer skalere hverandre i enten negativ eller positiv forstand. Selv to risikohendelser med kun nedsidepotensiale kan delvis oppveie hverandre.

Ineffektivt:

Dersom en behandler hver risikotype isolert kan det føre til flere former for ineffektivitet. Et eksempel er at en betaler for mye ved for eksempel separate sikringkjøp for relatert risikoeksponering i flere deler av virksomheten. Dette kan øke den totale kostnaden ved risikobegrensning. Dårlig kommunikasjon kan være et annet resultat. Mangelen av en standardisert tilnærming og felles rammeverk kan forhindre spredningen av «best practice» i risikostyringen. Kanskje mest kostbart er begrensninger i forhold til å effektivt dele erfaringer og lærdom fra historiske feil, som lett kan gjøre at andre avdelinger gjentar feilen. Risikostyring systemet søker å integrere styring og kontroll på tvers av risikotyper og virksomhetsområder for å fjerner ineffektivitet. Resultatet kan bli mer effektive og overveide risikobegrensningtiltak og effektiv deling av informasjon i hele organisasjonen.

Internt inkonsekvent:

Den tredje ulempen ved silorisikostyring, er at organisasjonen kanskje vil ha inkonsekvente prognoser for fremtiden relatert til markedet. Virksomhetsområdene kan ende opp med å utvikler uavhengige risikoscenarioer med forskjellige grunnleggende antakelser. Kommunikasjon og koordinering gjennom risikostyring prosessen sørger for at virksomheten fastsetter ett enkelt sett av prognoser for markedet internt i virksomheten.

5. Aggregerte måltall

Et risikostyringssystemet skal gi muligheten til å aggregere måltall for risikoeksponering på selskapsnivå. På denne måten kan en gjøre overordnede risikobeslutninger på øverste nivå i selskapet. På et aggregert nivå er det måltall for total risikoeksponering og risikoappetitt som er av interesse. Total risikoeksponering kalkuleres ved en bunn-topp tilnærming, der risikoeksponeringen i de ulike virksomhetsområdene blir summert. Korrelasjon blir inkludert ved aggregering med hensyn på simultane risikohendelser. Dette er et rent kvantitativt mål og bygger på interne risikokalkuleringer.

Risikoappetitt på den andre siden er et kvalitativt mål satt av ledelsen og styret på hvor høy total risikoeksponering selskapet finner akseptabelt. Risikoappetitt beregnes først på selskapsnivå og dernest disaggregeres risikoappetitt ned i virksomhetsområdene.

Risikoappetitt på virksomhetsområdenivå benevnes som risikogrenser. Risikoappetitt og risikoeksponering uttrykkes med en sannsynlighet og innvirkning på selskapet. Et godt aggregert måltall på risiko er selskapsverdi. Da vil total risikoappetitt for eksempel være at sannsynligheten for å tape 6 % av selskapets verdi, ikke skal overstige 14 %.

Flere selskaper opererer fortsatt med silorisikostyring og har derfor ikke disse aggregerte elementene i sin overordnede risikostyring. Men uten disse to aggregerte målene, kan faktisk ikke risikostyringen utføre sin hovedfunksjon, som er å håndtere og holde selskapets totale risikoeksponering innenfor selskapets risikoappetitt.

Evnen til å produsere disse aggregerte måltallene er også viktig fordi det er det første steget i beslutningsprosessen i risikostyring. Tradisjonell risikostyring der risikogrensene settes med utgangspunkt i de ulike virksomhetsområdene vil kunne føre til for lav eller for høy risikobegrensning. En bunn-topp tilnærming resulterer i en ineffektiv bruk av ressursene i organisasjonen, og særlig i finansinstitusjoner der kapitalallokering er en veldig utbredt utfordring.

Risikostyring introduserer en logisk tilnærming til styring av den totale volatiliteten og gir uttrykk for ønsket stabilitet i selskapet og sjokkresistans for ledelsen. Dette er viktig fordi aksjonærer og potensielle investorer også vil ha en slik tilnærming ved vurdering av selskapet. Når risikoeksponering er kalkulert, risikoappetitt er definert på selskapsnivå og risikogrensene er satt for de ulike virksomhetsområdene eller forretningsprosessene, kan mellomledelsen ta beslutninger på lavere nivå. 

6. Inkludert i selskapets beslutningstaking

Det har vist seg at mange tradisjonelle risikostyringssystemer hovedsakelig fokuserer på å identifisere, kvantifisere og rapportere risiko til ledelsen og styret. Svakheten med denne tilnærmingen er at risikostyringen får redusert verdi og kan virke overflødig. Risikostyring prosessen fokuserer på å faktisk bruke risikoinformasjon innhentet i tidligere steg til å fatte beslutninger og iverksette konkrete tiltak for å begrense risikoeksponeringen.

7. Balansert styring av «Risk-Return»

Et annet aspekt ved å inkludere risikostyring selskapets strategiske beslutningsprosess, er at risikostyring ikke kun involverer risikobegrensning. Tidligere fokuserte ledelsen kun på de negative sidene av risiko. Dette førte til at risikoledelsen ofte sa nei til prosjekter, for å forhindre at virksomhetsområder tok på seg mer risiko. Oppsidepotensialet ble tradisjonelt ikke veid opp mot nedsiden av risiko på en fornuftig måte. På grunn av at potensiell oppsiderisiko for prosjektene ikke ble vurdert, unngikk mellomledere å inkludere risikoledelsen i vurderingen og den endelige avgjørelsen av iverksetting av nye prosjekter. Risikostyring ønsker å inkludere både oppside- og nedsidepotensialet for å kunne gi riktige beslutningsgrunnlag for ledelsen og avveininger i forhold til risk-return på prosjekter og andre driftsrelaterte beslutninger.

8. Korrekt synliggjøring av risiko

Ved implementering av risikostyring er det sjeldent at det avdekkes nye typer risiko. Dette fordi ledelsen og selskapet allerede har oversikt over nøkkelrisikoene selskapet står ovenfor. En kraftig oversett risiko, på den andre siden, er risikoen for ukorrekt rapportering og synliggjøring av risiko. Med rapportering og synliggjøring i denne sammenhengen menes ekstern informasjonsdeling og kommunikasjon med aksjonærene og andre stakeholders for å gi dem innsikt i selskapets risikobilde og det helhetlige programmet for risikostyring.

En signifikant risiko er ofte meget svak sammenheng mellom det som blir kommunisert til eksterne aktører og det faktiske risikostyring programmet i virksomheten. Riktig og oversiktlig kommunikasjon av risikoinformasjon gir virksomheten et bedre utgangspunkt for å forsvare seg ved potensielle risikohendelser. Problemet oppstår ofte når virksomheten ikke informerer om risikoenes potensielle konsekvens på aksjonærverdier. Dersom virksomheten forbereder aksjonærene på forhånd, gjennom kontinuerlig kommunikasjon, vil aksjonærene kunne være mer støttende og forståelsesfulle.

Mulige forklaringer på hvorfor virksomheter ikke presenterer potensielle nøkkelrisikoer med tilhørende konsekvens for selskapsverdien, er blant annet at selskaper ikke har anledning til det. I dette ligger det at de faktisk ikke har et system eller en prosess for å måle risikoens innvirkning på selskapsverdi. En annen forklaring er også at de ikke ønsker å dele denne informasjonen med offentligheten på grunn av konkurransehemmende effekter. 

9. Måle risikoens verdipåvirkning

I risikostyring representerer ordet verdi betydningen av å bruke overordnede måltall i kvantifiseringsprosessen av risiko. Virksomheten trenger måltall som fanger opp verdien av selskapet for aksjonærene og potensielle investorer. Ledelsen trenger også måltall som kan støtte opp under deres beslutninger og prestasjonsledelse. Dersom selskapet handles på børsen, vil den viktigste eksterne aktøren være aksjonærene. Aksjonærverdier representeres av markedskapitalisering. Markedskapitalisering defineres som aksjepris multiplisert med antall utestående aksjer. Overfor ledelsen defineres aksjonærverdi som selskapets verdi. Selskapets verdi vil i denne sammenhengen være gitt ved en intern verdivurdering i forhold til hva selskapets er verdt for hovedaksjonærene. Selskapsverdi er i sammenheng med risikostyring en intern verdivurdering basert på generelle verdsettelsemodeller, inkludert intern informasjon.

Ledelsen kan bruke selskapsverdi som et meget effektivt risikomål. Grunnen til dette er at risikoscenarioer kan kvantifiseres med utgangspunkt i innvirkning på baseline value. Baseline value defineres som verdien av selskapet ved en discounted cash flowverdsettelse, dersom alt går etter selskapets forventinger. Avvik fra forventingene vil blir sett på som risikohendelser. Dermed er baseline value det en investor ville betalt for selskapet i dag, dersom de trodde at selskapet vil ha evne til å utføre sin strategiske plan perfekt og at alt vil gå etter selskapets forventninger. Likevel bruker de færreste selskaper en intern verdivurdering av selskapet av ledelsesgrunner, og enda færre bruker dette målet som en del av risikostyringen.

Ofte blir risiko kvantifisert i kortsiktige måltall som påvirkningen dagens balanse eller neste års resultat. Ettersom risikohendelser kan påvirke selskapet i lang tid fremover vil slike kortsiktige måltall ikke være tilstrekkelig for å fange opp den totale risikopåvirkningen på selskapet, og vil heller ikke fungere optimalt som informasjon i selskapets strategiske beslutningsprosess.

10. Hovedfokus på aksjonærene

I tradisjonell risikostyring er det ofte slik at ledelsen fokuserer og basere sin risikostyring på å opprettholde kreditt-rating ovenfor ratingbyråene. I tillegg fokuserer finansinstitusjonene også tungt på å overholde regulatoriske krav og spesielt anvises det da til regulatoriske kapitalkrav.

Tradisjonelt har f.eks. finansinstitusjonenes risikostyring fokusert helt og holdent på å tilfredsstille regulatorene. På den ene siden er dette forståelig på grunn av tradisjonell risikostyrings ensidig fokus på negativ risiko og risikobegrensning. På den andre siden er ERMs tilnærming til risikostyring mer strategisk, og inkluderer også potensielle positive konsekvenser av risiko.

Risikostyring fokuserer også på overordnede måltall for selskapet, nemlig selskapsverdi og ikke regulatorisk kapital og økonomisk kapital. Regulatorer og ratingbyråer er fremdeles viktige, men kommer i andre rekke etter aksjonærene.

Av den grunn er det ikke optimalt å gjøre regulatorene og ratingbyråene maksimalt fornøyde, fordi det ofte kommer på bekostning av aksjonærene. Eksempel på dette er finansinstitusjoner som holder for mye reservekapital kun for å blidgjøre ratingbyråene. For mye reservekapital resulterer i at en ikke får investert denne kapitalen i andre lønnsomme prosjekter og går glipp av fremtidig vekst og avkastning.

Kilder:

  • Segal, Sim (2011), Corporate Value of Enterprise Risk Management : The Next Step in Business Management. Hoboken, NJ, USA: Wiley.
  • https://brage.bibsys.no/xmlui/bitstream/handle/11250/223994/masterthesis146.pdf
Fant du ikke svaret? Spør redaksjonen!
Rapporter en feil, mangel eller savn

Du kan også laste ned denne artikkelen og resten av artikkelserien som en e-bok Artikkelserien fortsetter under.

Topp20 artikler
Siste 20 artikler
Nye artikkelserier
Du leser nå artikkelserien: Risiko- og sårbarhetsanalyser (ROS)

  Gå til neste / forrige artikkel i artikkelserien:  << Risikostyring / Enterprise Risk Management (ERM)
    Andre artikler i serien er: 
  • Risiko- og sårbarhetsanalyser (ROS)
  • Risiko
  • Risikoformer
  • Risikoprofil og risikoeksponering
  • Risikomatrise
  • Bayesianske nettverk
  • Arbeidsmodell for risikoanalysen
  • Konsekvensanalyse
  • Risikoreduserende tiltak
  • Forebygging og utbedring
  • Risikostyring / Enterprise Risk Management (ERM)
  • Rammeverk for risikostyring