Risikoformer
Det finnes mange former for risiko som må vurderes i en risiko- og sårbarhetsanalyse.
Objektiv – og subjektiv risiko
Det er forskjell på hvordan fagekspertisen og allmuen bedømmer og forholder seg til risiko. Vi må derfor skille mellom:
- Objektiv risiko – risikovurderinger basert på anerkjent teori og metoder om risiko.
- Subjektiv risiko – vår egen subjektive bedømming av erfaringen.
Hvilke av disse en legger til grunn vil påvirke oppfattelsen av risikoen og beslutningene som blir truffet. Skillet mellom objektiv og subjektiv risiko er heller ikke krystallklart. Risiko er ikke en størrelse som kan måles vitenskapelig på samme måte som et skips lengde. Enhver oppfatning av risiko er dermed uttrykk for en vurdering, uavhengig av hvem som gjør den og metode som benyttes. (Brehmer, 1993).
Tre risikoformer
Er annet grunnskille er å skille mellom strategisk-, intern- og ekstern risiko.
- Intern risiko handler om risiko bedriften selv kan forutse og forebygge. Denne formen for risiko er altså kontrollerbar. Bedriften bør alltid forsøke å eliminere eller unngå slik risiko. Dette handler om ansatte og leders uautoriserte og uetiske handlinger. Herunder finnes også risiko for at rutiner i operasjonelle prosesser feiler. Slik risiko håndteres best med systemer av regler og retningslinjer.
- Strategisk risiko dreier seg om risiko som bedriften eller organisasjonen er villig til å ta. Her er det snakk om at risikoen gir en mulighet for at noe positivt skal skje og gi økt verdi for bedriften. I vurdering av strategisk risiko, handler det ikke om å fjerne eller eliminere risiko. Det handler om å ta riktig risiko. Eksempler på strategisk risiko kan være finansiellrisiko eller satsning i nye markedsområder.
- Ekstern risiko handler om risiko som kan oppstå utenfor organisasjonens rammer. Slike former for risiko har ofte bedriften svært liten mulighet til å påvirke. Dette kan for eksempel være endrede lovpålagte rammer, makroøkonomiske endringer, eller politisk kriser (Mikes, 2009).
Alle visjoner, mål, strategier og beslutninger må analyseres og vurderes opp mot disse tre risikoformene.
Strategisk risiko
Strategisk risiko dreier seg om:
RISIKO SOM BEDRIFTEN ELLER ORGANISASJONEN ER VILLIG TIL Å TA.
Strategisk risiko er risiko som er knyttet til uventede endringer i nøkkelelementer i strategiformuleringen og/eller utøvelsen av selskapets strategi (den planlagte strategien blir ikke operasjonalisert som tiltenkt). Denne risikotypen er veldig avhengig av selskapet det gjelder og må tilpasses hvert enkelt selskap. Noen stikkord er her:
- Strategi – strategiens levedyktighet; valg av produkter eller tjenester selskapet skal produsere/tilby, distribusjonskanaler eller at faktisk verdi ikke matcher forventet verdi. Dette varierer stort mellom selskaper.
- Utøvelse – strategien blir ikke implementert som forventet.
- Eierstyring – Vil eierstyringen fungere som forventet?
- Strategiske allianser – Vil det kunne skj uventede endringer i strategiske allianser som moderselskap eller joint venture partnere?
- Konkurrenter – endringer i konkurransesituasjonen i bransjen slik som nye inntrengere, aggressive handlinger av konkurrenter rettet mot selskapet, priskrig etc.
- Leverandør – sjansene for uventede endinger i leverandørsituasjonen som leverandørens kapasitet, leverandør mister muligheten til å levere eller endringer i kostnadene knyttet til levering / kostnader knyttet til varer eller tjenester benyttet i produksjonen. Dette inkluderer også uventede endringer i rating byråers ranking eller regulatorisk lisensiering.
- Samfunnsøkonomisk – Sjansen for uventede endringer i økonomien. Dette er ofte kilden til risiko som trigger flere og samtidige uventede endringer i andre elementer, slik som konsumenters disponible inntekt (rammer etterspørselen etter bedriftens varer og/eller tjenester), jobbmarkedet (rammer selskapets faste kostnader), inflasjon/deflasjon (rammer selskapets variable kostnader), elementer relatert til markedsrisiko og kreditt risiko.
- Eksterne relasjoner – sjansene for uventede endringer i selskapets forhold til eksterne stakeholders med offentlig påvirkningskraft, slik som media, talspersoner for konsumentene, finans analytikere, rating byråer, regulerings ansvarlige og politikere.
- Lovgivning / regulering – sjansene for uventede endringer i lover og reguleringer.
- Internasjonal – sjansene for uventede endringer i næringslivet med tanke på utenlandsk næringsvirksomhet og land selskapet opererer i. Det gjelder elementer som regjeringens stabilitet, holdninger mot utenlandske selskaper og tariffer.
I vurdering av strategisk risiko, handler det ikke om å fjerne eller eliminere risiko. Det handler om å ta riktig risiko. Eksempler på strategisk risiko kan være finansiellrisiko eller satsning i nye markedsområder.
Finansiell risiko
Det er vanskelig å spå hva framtiden bringer, og derfor løper bedriftene en konstant risiko for at det skjer endringer i eksempelvis råvaremarkedet og finansmarkedet. Det å skulle levere store ordrer med råvarepris som usikker faktor, kan påføre bedriften store tap. En hurtig voksende virksomhet vil ofte møte finansielle utfordringer, i form av likviditets- og soliditetsproblemer.
Finansiell risiko er risiko som relaterer seg til endringer i eksterne markeder, priser, kreditt, renter, tilbud, etterspørsel og likviditet.
Likviditetsrisiko – Likviditetsproblemer kan oppstå om virksomheten ikke har tatt høyde for uforutsette hendelser, eller ikke har utarbeidet fornuftige likviditetsbudsjetter gjennom å kontinuerlig vurderer sin kontantstrøm. F.eks. kan forsinkelser i kontraktfestet ferdigstillelsen i bygg- og anleggsbransjen føre til at prosjektet ikke blir fullført, og at virksomheten ender med konkurs eller styrt avvikling. Urealistiske salgsbudsjetter og/eller store svingninger i etterspørselen etter virksomheten produkter og tjenester kan også medføre en likviditetskrise. Det samme kan en rekke andre forhold som må konstant vurdere som en risiko.
Kredittrisiko – er risiko som er knyttet til virksomhetens egen kunde- og leverandørkreditt, inkl. bank og annen kreditt fra finansinstitusjoner. Går renten kraftig opp kan dette gå utover virksomhetens lønnsomhet og likviditet og i ytterste konsekvens kan dette medføre at virksomheten ikke klarer å betale sine lån eller at virksomheten går på store økonomiske tap p.g.a. kreditten de har gitt til sine kunder.
Operativ risiko
Operativ risiko kan defineres som:
Den risikoen man løper for tap som følge av utilstrekkelige eller sviktende interne prosesser eller systemer.
Operativ risiko, eller operasjonell risiko som risikoformen også kalles er en risiko som er relaterer seg til uventede endringer i elementer som er knyttet til den daglige driften av selskapet. Eksempler er risiko knyttet til humankapital, teknologi, prosesser og katastrofer/ulykker. Noen stikkord er her:
- Humankapital – risiko knyttet til ansatte som yter ikke som forventet, slik som uventede endringer i ansettelse og utvikling av talenter, ytelse/resultat, produktivitet og oppførsel/opptreden.
- Teknologi – risikoen for at teknologien ikke gir den ytelsen eller det resultatet som er forventet. Noen eksempler inkluderer datasikkerhet, konfidensiell og privat data, dataintegritet, kapasitet og pålitelighet.
- Prosesser – risikoen for at virksomhetens prosesser ikke fungerer som forventet
- Rettssaker og søksmål – risikoen for å få uventede søksmål eller dommer mot selskapet.
- Compliance – risikoen for standarden ikke matcher forventningene (mht kvalitet, sikkerhet, utslipp etc.).
- Ekstern svindel – uventede endringer i grad eller antall svindler fra eksterne aktører rettet mot selskapet.
- Katastrofer /ulykker – Uventede natur- eller menneskeskapte katastrofer slik som værrelaterte (orkan, oversvømmelse, tornado, jordskjelv), helserelaterte (pandemier), ulykker (brann), generelle destruktive handlinger (krig, terror og opptøyer) og spesifikke destruktive handlinger rettet direkte mot selskapet (tukling med produktet eller tjenesten som leveres, angrep på ansatte og sabotasje). Dette inkluderer også uventede menneskeskapte katastrofer forårsaket av ansatte etc.
Menneskelige feil og eksterne hendelser kan også skape operativ risiko. Herunder vil bemanning, kultur og omorganisering være sentrale faktorer som kan skape en risiko for virksomheten. Eksempel på dette kan være holdninger, kompetanse, organisatoriske løsninger, ressursutnyttelse og hvordan prosjektstyringen utføres.
Teknologisk risiko
Denne delen av risikobildet er knyttet opp mot teknologiske løsninger, drift, vedlikehold, ITsikkerhet i systemer og applikasjoner. Det at den teknologiske utviklingen skjer raskt, kan eksempelvis føre med seg en risiko for at bedriften mister konkurransefortrinnet den har opparbeidet seg.
Juridisk risiko
Vil være en risiko som tilknyttes de kontraktene bedriften inngår, samt de lover og regler som gjelder i det markedet de opererer. En endring i myndighetskravene kan få uheldige konsekvenser for enkelte bedrifter.
Eksempel på dette kan være de skjerpede kravene som bankene har fått i etterkant av finanskrisen. Det er viktig at bedriftens leder har ett forhold til disse risikoene, og ser i hvilken grad de påvirker utviklingen.
Intern risiko
Intern risiko handler om:
Risiko bedriften selv kan forutse og forebygge.
Denne formen for risiko er altså kontrollerbar. Bedriften bør alltid forsøke å eliminere eller unngå slik risiko. Dette handler om ansatte og leders uautoriserte og uetiske handlinger. Herunder finnes også risiko for at rutiner i operasjonelle prosesser feiler. Slik risiko håndteres best med systemer av regler og retningslinjer.
Ekstern risiko
Ekstern risiko handler om:
Risiko som kan oppstå utenfor organisasjonens rammer.
Slike former for risiko har ofte bedriften svært liten mulighet til å påvirke. Dette kan for eksempel være endrede lovpålagte rammer, makroøkonomiske endringer, eller politisk kriser.
Kilder:
- Mikes, 2009: Risk Management and Corporate Governance: Interconnections in Law,
Accounting and Tax, Edward Elgar Publishing