Forfatter: Sigurd Mathiesen
Formål, lovkrav og anbefalinger
Formålet med denne artikkelen er å gi en overordnet innsikt i hvilke prinsipper som bør legges til grunn i helhetlig risikostyring. Gjennom å integrere helhetlig risikostyring med et tydelig fokus på strategi og ønsket måloppnåelse så øker du sannsynligheten for at virksomheten din vil nå sine mål.
Følgende enkle figur gir en overordnet framstilling av denne sammenhengen:
Kilde: COSO
Det følger av aksjelovens § 6 – 12 at «forvaltningen av selskapet hører under styret» og at «styret skal sørge for forsvarlig organisering av virksomheten».
https://lovdata.no/lov/1997-06-13-44/§6-12
Videre «plikter styret å påse at dets virksomhet, regnskap og formuesforvaltning er gjenstand for betryggende kontroll».
Norsk Utvalg for Eierstyring og Selskapsledelse (NUES) anfører videre følgende i sin «Anbefaling for god eierstyring og selskapsledelse»:
«Styret skal påse at selskapet har god intern kontroll og hensiktsmessige systemer for risikostyring i forhold til omfanget og arten av selskapets virksomhet.
Styret bør årlig foreta en gjennomgang av selskapets viktigste risikoområder og den interne kontroll.»
https://nues.no/eierstyring-og-selskapsledelse
Anbefalingen gjelder for foretak som er notert på børs, men mange av anbefalingene i dokumentet er relevante for alle typer virksomheter.
Bruk av et anerkjent rammeverk bidrar til god systematikk og oppfølging og vil skape en større forståelse for verdien av helhetlig risikostyring i hele virksomheten og i denne artikkelen tas det utgangspunkt i anbefalingen for risikostyring i henhold til COSO – rammeverket.
Rammeverket understreker at risiko ikke kun er en trussel, men også en kilde til muligheter og verdiskaping dersom den håndteres på en strukturert og bevisst måte.
Det endrende risikolandskapet
Virksomheter opererer i et miljø preget av økende volatilitet, kompleksitet og usikkerhet. Globalisering, teknologisk utvikling og mer krevende interessenter bidrar til at risikobildet stadig endres. Risiko er derfor en integrert del av alle beslutninger, fra daglig drift til strategiske veivalg.
Helhetlig risikostyring må derfor ses som både en analytisk disiplin og en praktisk tilnærming som støtter beslutningstaking. Den bidrar til å balansere risiko og muligheter og gir virksomheter bedre forutsetninger for å lykkes i et uforutsigbart landskap. Økt transparens og ansvarlighet er også nødvendig for å møte interessentenes forventninger.
Styrets ansvar for helhetlig risikostyring
Styret har en sentral rolle i å føre tilsyn med risikostyringen. Dette innebærer å kunne utfordre ledelsen, vurdere strategi og risikoappetitt og sikre at virksomheten opererer i tråd med formål, visjon og kjerneverdier. Styret må derfor også ha et aktivt forhold til virksomhetens risikokultur.
Effektiv risikostyring forutsetter en kultur som fremmer ansvarlig risikotaking og åpen kommunikasjon. Styret bør derfor etterspørre informasjon om hvordan risiko vurderes og håndteres, og hvordan kulturen påvirker beslutninger og adferd i virksomheten.
Ledelsens ansvar for helhetlig risikostyring
Den daglige ledelsen har ansvaret for løpende risikostyring og må sikre at denne integreres i alle sentrale prosesser. Rammeverket fremhever derfor at risikovurderinger bør være en naturlig del av strategiprosessen. Ved å analysere risiko før strategien fastsettes, får ledelsen bedre innsikt i konsekvenser, muligheter og usikkerheter. Disse vurderingene må framlegges for styret.
Dette styrker beslutningsgrunnlaget og bidrar til å skape mer robuste strategier. Helhetlig risikostyring forbedrer også dialogen internt i virksomheten ved å synliggjøre sammenhenger mellom ulike deler av virksomheten. Det gir en felles forståelse av risiko og fremmer helhetlig tenkning og koordinert handling.
Hva oppnår man med helhetlig risikostyring ?
Siden introduksjonen av det opprinnelige rammeverket i 2004 har helhetlig risikostyring blitt tatt i bruk i en rekke virksomheter globalt. Det har bidratt til bedre identifisering og håndtering av risiko, samt styrket måloppnåelse og verdiskaping.
Nåværende versjon legger vekt på å integrere risikostyring i strategiprosesser samt å fremheve sammenhengen mellom risiko, prestasjon og verdi.
Fordeler ved effektiv risikostyring
Virksomheter som arbeider systematisk med helhetlig risikostyring oppnår flere fordeler. De kan identifisere nye muligheter ved å analysere risiko bredt, og de kan håndtere risiko på tvers av virksomheten. Dette gir bedre oversikt og mer helhetlig styring.
Videre reduseres negative overraskelser, samtidig som positive utfall kan utnyttes bedre. Variasjon i måloppnåelse kan også reduseres, noe som gir mer forutsigbare resultater. I tillegg bidrar risikostyring til bedre ressursutnyttelse ved at prioriteringer baseres på risiko og potensial.
Over tid styrker dette virksomhetens fleksibilitet og evne til å tilpasse seg endringer, noe som er avgjørende i et dynamisk marked.
Oppklaring av misoppfatninger
Rammeverket tydeliggjør at helhetlig risikostyring ikke er en isolert funksjon eller en avdeling, men en integrert del av virksomhetens kultur og praksis. Det er heller ikke en sjekkliste, men et prinsippbasert rammeverk som må tilpasses den enkelte virksomhet.
Videre omfatter risikostyring mer enn intern kontroll. Det inkluderer strategi, kommunikasjon, prestasjonsmåling og virksomhetsstyring. Rammeverket er relevant for alle typer virksomheter, uavhengig av størrelse og sektor.
Risikoens rolle ved valg av strategi
En sentral innsikt i rammeverket er at risiko må vurderes før strategi fastsettes. Tradisjonelt har risiko ofte blitt vurdert etter at strategien er valgt, men dette gir et begrenset beslutningsgrunnlag.
Rammeverket fremhever to viktige aspekter: risikoen for at strategien ikke er tilpasset virksomhetens formål og omgivelser, og konsekvensene av den valgte strategien. Begge disse faktorene kan ha betydelig innvirkning på verdiskaping.
Ved å analysere alternative strategier og deres risikoprofiler kan ledelsen og styret ta mer informerte beslutninger. Dette bidrar til bedre tilpasning mellom strategi, risikoappetitt og mål.
Et fokusert rammeverk
Rammeverket består av fem integrerte komponenter og som illustreres av følgende figur:
Kilde: COSO
1. Virksomhetsstyring og kultur – dette etablerer grunnlaget for risikostyring gjennom struktur, ansvar og verdier.
2. Fastsettelse av strategi og mål – gjennom integrering av risiko i strategiprosesser og målformulering.
3. Gjennomføring – som identifiserer, vurderer og håndterer risiko i operasjonell drift.
4. Gjennomgang og revurdering – ved at evaluerer ytelse og tilpasser risikostyringen ved endringer.
5. Informasjon, kommunikasjon og rapportering – som sikrer effektiv informasjonsflyt og transparens.
En vindu inn i fremtiden
Ny og beste praksis innen risikostyring påvirkes nå av flere sentrale utviklingstrekk. Økt tilgang til data og avanserte analyseteknikker kan gi bedre innsikt, men stiller også høyere krav til både kompetanse og systemer. Kunstig intelligens (KI) og automatisering gjennom bruk av KI – agenter har skapt nye muligheter for hvordan risiko kan identifiseres og håndteres.
Virksomheter må også håndtere kostnadene ved risikostyring og sikre at disse står i forhold til verdien som skapes. Integrasjon mellom ulike styringsprosesser er derfor viktig. Evnen til å bygge robuste og tilpasningsdyktige virksomheter vil være avgjørende for langsiktig suksess.
Avslutningsvis understrekes det at helhetlig risikostyring er en kontinuerlig prosess som må utvikles i takt med omgivelsene. Styret bør derfor som et minimum ha en halvårlig oppfølging av den årlige risikovurderingen. Når den implementeres effektivt, vil den gir den bedre beslutningsgrunnlag, styrker måloppnåelse og bidrar til bærekraftig verdiskaping over tid.
I en kommende artikkel vil vi forklare og gjennomgå utvalgte verktøy som har til hensikt å understøtte den praktiske gjennomføringen av risikovurderinger samt hvordan identifiserte risikoer og omforente tiltak følges opp og dokumenteres.
Forfatter: Sigurd Mathiesen, MBA NHH
