Frygt må kontrolleres ved begavet risikostyring

Risikostyring er blevet en nødvendig lederdisciplin i både den offentlige og den private sektor.

Risikovurdering er rykket ind på topledelsens skriveborde, skriver journalisten og forfatteren Per Thygesen Poulsen i denne overbliksartikel om risikostyring. Der er en voksende bevidsthed om, at det er nødvendigt at interessere sig for risikostyring. Det ses blandt andet af øget tilslutning til det internationale netværk EIRM (European Institute for Risk Management), som er blevet til på dansk initiativ.

Pres fra internationale investorer, fra politikere, fra pressen og ekkoet fra den seneste tids finansskandaler har også øget behovet for både en professionalisering af området og mere forskning og øget kravene til virksomhedernes topledelser om at inddrage risikovurdering på strategisk niveau i virksomheden.

Det er ikke tilstrækkeligt, at virksomheden forsikrer sig mod mulige risici. Organisationen skal være rede til at kunne håndtere uforudsete hændelser, når de indtræffer. En undersøgelse, som refereres i artiklen, viser, at i 90 % af de undersøgte tilfælde kendte virksomheden til risikoen, men var ikke i stand til at reagere rettidigt.

Vurderingen af mulige farer er kun den ene side af risikostyring. Den anden handler om evnen og villigheden til at gribe mulighederne i det vurderede projekt.

Der skal være balance mellem innovation og forandring på den ene side og at undgå chok og kriser på den anden, som den engelske premierminister Tony Blair skriver i en rapport. En rapport, som også har givet inspiration til et dansk initiativ om risikostyring i offentlige organisationer.

»Risk Management er ikke nogen døgnflue«, siger direktør for EIRM Network, Finn Kjær Jensen, interviewet af Per Thygesen Poulsen. Men Kjær Jensen advarer om, at risikostyring kan blive til frygtstyring, hvor virksomheden gemmer sig bag forsvarsværker og ansvarsfraskrivelse.

Af Per Thygesen Poulsen

01. maj 2005

Risiko har altid været en del af en leders, en iværksætters og en investors verden. Der har til ethvert initiativ og enhver forandring hørt en vurdering af muligheder og risici, bevidst eller ubevidst, eksplicit eller implicit.

Derfor er risikostyring i en eller anden grad gammel vin, der hældes på smukt designede nye flasker med betegnelser som Risk Management, Enterprise Risk Management og Public Risk Management.

Det nye er ikke problemområdet, men derimod et velstruktureret begrebsapparat med tilhørende krav om analyser, organisering og dokumentation.

Takket være et pres fra internationale investorer, fra politikerne, fra pressen og ekkoet fra finansskandaler, terrorangreb og naturkatastrofer er risikostyring rykket fra ingeniørernes og regnskabsfolkenes verden ind på topledelsens skriveborde.

Traditionel risikostyring begrænsede sig til de enkelte risici, som var forbundet med ansvaret for produkter og sikkerhed på jobbet. Entreprise Risk Man-agement (ERM) er et overordnet begreb, en totalbetragtning kommet til os fra den angelsaksiske verden, som af katastrofer og skandaler er blevet opmærksom på, at det ikke er nok at forsikre sig mod risici, men at virksomheden må være tunet til at håndtere uforudsete hændelser, når de indtræffer, og at medarbejdere på alle niveauer må være parate til at melde ud om mulige risici i enhver situation.

Nogle steder bliver det praktiseret som et administrativt system snarere end en ledelsesfilosofi. Virksomheder har travlt med at udforme rapporteringssystemer og udnævne nøglepersoner til CRO, Corporate Risk Officer. Men det er kun en af de to dimensioner af Enterprise Risk Management, forklarede den amerikanske professor Peter C. Young ved en konference i fjor arrangeret af EIRM, European Institute for Risk Management [1].

»I den anden dimension ser man ERM som en værdi. Det vil sige, at ERM er en måde, hvorpå man kan tænke og vurdere risici og deres forhold til en organisation. Det er min vurdering, at vi har vurderet ERM's succes i den første dimension, men forsømt at interessere os for den anden«, tilføjede Young.

I det øjeblik man ikke kun tænker intuitivt, men analyserer sine risici og tager stilling til sin risikovilje, sin »risikoappetit«, kan det ikke alene vise, hvordan man kan undgå unødige risici, men også åbne for nye muligheder.

»Risikostyring skal ikke kun være frygtsom, den skal også sige ja. En risiko er en mulighed, hvortil der er knyttet nogle betingelser. Og først når man betragter det kreativt, bliver det for alvor spændende«, siger Finn Kjær Jensen, direktør for det internationale EIRM Network.

Globaliseringens pres
Netop nu er en række af de største internationalt arbejdende selskaber i gang med at indføre og formalisere risikostyring for at leve op til de internationale investorers krav.

Hertil er formentlig den mest udbredte opskrift på Enterprise Risk Management udviklet af den private organisation COSO (The Committee of Sponsoring Organizations of the Treadway Commission). Den findes i en håndbog, som på en snes sider fortæller, hvordan man kan leve op til de internationale krav [2].

Grundtanken er, at enhver ledelse har til opgave at fastslå, hvor meget usikkerhed den skal acceptere i sine bestræbelser for at skabe værdi for interessenterne. Hertil skal ERM bidrage ved gennem analyser at afbalancere mulighederne og de dertil knyttede risici.

Ifølge COSO-håndbogen omfatter Enterprise Risk Management seks hovedopgaver:

  • Skabe sammenhæng mellem risikoappetit og strategi.
  • Understøtte beslutninger om respons på risici.
  • Reducere operationelle overraskelser og tab.
  • Identificere og håndtere mangesidige og tværorganisatoriske risici.
  • Gribe muligheder.
  • Forbedre kapitalens placering.

Det kan der være god grund til.

Ved Center for Virksomhedsledelse og Teknologi ved Copenhagen Business School har man en undersøgelse i gang i samarbejde med et netværk af nogle af Danmarks store globale koncerner anført af A.P. Møller - Mærsk og TDC.

Projektet »Strategic Risk Management« [3] har arbejdstitlen »Rettidig Omhu« og skal belyse, hvordan danske koncerner håndterer begreberne og metoderne i praksis.

En ny undersøgelse, gennemført for centeret af analyseinstituttet A2, viser ifølge centerets hjemmeside [4], at flere og flere danske virksomheder tager risikostyring til sig, men også at der hersker en del usikkerhed på området.

53 % af de deltagende virksomheder og organisationer har inden for de sidste fem år oplevet væsentlige forretningsmæssige »overraskelser« i deres forretning.

I 90 % af tilfældene kendte virksomhederne til risikoen, men formåede ikke at reagere rettidigt.

»Forklaringen er primært, at man fandt sandsynligheden meget lille, ansvaret for aktion meget uklart eller tiden og ressourcerne utilstrækkelige. Disse forklaringer hænger tæt sammen med det forhold, at topledelsen sjældent har haft det koordinerende ansvar for risikoansvaret«, skriver projektleder Per Henriksen i rapporten.

Et europæisk netværk
Den voksende bevidsthed om nødvendigheden af risikostyring viser sig i en stadig større tilslutning til det dansk etablerede internationale netværk EIRM. Her er ikke alene flere store, danske koncerner medlemmer, men også en række statslige og kommunale organisationer og virksomheder.

EIRM er stiftet og ejet af Kommuneforsikring. Men gennem sit medlemskab har netværket en horisont, som rækker langt ud over det forsikringsmæssige risikobegreb, og netværket omfatter allerede afdelinger i Irland, Norge og Sverige. Det drives uden offentlige tilskud, alene baseret på medlemskontingenter og konferenceindtægter.

»Jeg ser ingen grænser for, hvor vi kan anvende vores viden, måske med undtagelse af USA«, siger direktør Finn Kjær Jensen.

Der har fra stiftelsen af EIRM været et stærkt islæt af offentlige organisationer, og det er under yderligere vækst. Ikke mindst inspireret af Storbritanniens nuværende regering.

»Risk Management - at få den rigtige balance mellem innovation og forandring på den ene side og at undgå chok og kriser på den anden - er nu central for udøvelsen af god forvaltning [»the business of good government«], skriver premierminister Tony Blair i en rapport, han har ladet en strategienhed i sit kabinet udarbejde [5].

Mens mange mener, at risiko er en fare, som man bør undgå, understreger den britiske rapport den anden side af billedet: Evnen til at gribe nye muligheder og håndtere den risiko, der er knyttet dertil.

»Vi definerer risiko som usikkerhed om udfaldet af handlinger og begivenheder, det være sig positiv mulighed eller negativ trussel. Det er kombinationen af sandsynlighed og påvirkning, herunder den betydning, det tillægges«, hedder det i den summariske rapport, som kan downloades fra EIRM's hjemmeside [6].

Public Risk Management
Mens Tony Blairs initiativ især peger på den politisk valgte regerings ansvar for at håndtere og kommunikere risici, arbejder valgte og ansatte offentlige ledere på næste trin i hierarkiet nu i stadig højere grad på at styrke deres kompetencer på området.

Allerede i 2002 afholdt EIRM den første konference om offentlig risikoledelse med deltagelse fra såvel ministerier som amter og kommuner, Told-Skat, Flyvesikringstjeneste og så videre (se den indrammede tekst).

UDITE, Union des Dirigeants Territoriaux de l'Europe, en organisation for EU's ca. 15.000 kommunaldirektører, har udpeget Risk Management som et indsatsområde for de næste to år.

Det har inspireret EIRM til at udarbejde et forslag til stiftelsen af et netværk for kommunale topledere betitlet PRIMO, Public Risk Management Organisation. Forslaget blev vedtaget ved et møde i Strasbourg den 31. marts og vil blive markeret ved en Risk Management-konference i København den 22.-23. september i år.

Professionalisering
En række virksomheder har udnævnt økonomer og teknikere til stillinger inden for risikostyring, Chief Risk Officer og lignende.
Det indebærer en risiko for, at virksomhedens topledelse mener at have delegeret sit ansvar for en overordnet vurdering af de risici, der findes på tværs i organisationen, i det indbyrdes samspil og samspillet med omverdenen.

Men selv om topledelsen begynder at tage aktiv del i den strategiske risikoledelse, får den på den anden side behov for støtte fra medarbejdere på flere niveauer med faglig viden om risikoledelse.

Dette behov søger EIRM nu at afhjælpe i samarbejde med the Institute for Risk Management (IRM) i London og the Caledonian Business School i Glasgow (CBS - ikke at forveksle med Copenhagen Business School!).

EIRM vil i den nærmeste fremtid tilbyde et on-lineselvstudium, som slutter med et certifikat i Risk Management. Det vil ikke mindst kunne tilbyde virksomheder et fælles begrebsapparat at arbejde videre med i etableringen af en intern risikokultur og -organisation.

For dem, der vil videre, etableres nu en diplomuddannelse i Risk Management ved IRM i London og en MSc-uddannelse som Master in Risk Man-agement ved CBS i Glasgow.

»Risk Management er ikke nogen døgnflue, men et væsentligt element i offentlig og privat ledelse. Derfor har vi etableret et forløb, som skal opbygge faglighed i en karrierevej inden for Risk Management«, siger Finn Kjær Jensen.

Amerika vs. Europa
Risikoledelse er allerede på en række toplederes dagsorden. Og der er ingen tvivl om, at det bliver et vigtigt aspekt af Corporate Governance og dermed et punkt i pensum for de allerfleste ledere inden for de kommende år.

I vejledningen til den britiske Turnbull Report [8] kræves det, at børsnoterede selskaber skal »identificere, evaluere og administrere deres betydende risici og vurdere effektiviteten af de modsvarende interne kontrolsystemer. Bestyrelser bliver opfordret til at gennemgå periodiske rapporter om effektiviteten af det interne kontrolsystem til håndtering af nøglerisici og foretage en årlig vurdering med henblik på deres redegørelse for den interne kontrol i årsrapporten«.

»Den øverste ledelse er ansvarlig for at administrere risici ved at opretholde et effektivt internt kontrolsystem, og bestyrelsen som helhed er ansvarlig for at rapportere om det«, erklærede udvalgsformand Nigel Turnbull, The Institute of Chartered Accountants in England and Wales, ved sin præsentation af vejledningen, som nu indgår i EU-Kommissionens overvejelser om fælles retningslinjer for god selskabsledelse i Europa.

Dermed er risikoen på vej ind i fremtidens regler for Corporate Governance. Allerede nu foregår der forhandlinger mellem EU-Kommissionen og de amerikanske myndigheder om, hvordan man kan skabe overensstemmelse mellem de amerikanske krav i Sarbanes-Oxley-loven og et fremtidigt regelsæt for EU, hvor Turnbull-rapportens regler forventes at få en væsentlig indflydelse. Her kan blandt andet det danske forskningsprojekt give inspiration.

Frygt for ansvar
»COSO-modellen kan for så vidt være god nok. Men disse kæmpestore amerikanske koncepter indeholder intet om organisationskulturen. Vi betragter risikostyring som et videnprojekt, en måde at skabe viden på, som præger hele organisationen«, siger Preben Melander, Center for Virksomhedsledelse og Teknologi, CBS.

Fremtidens leder- og ejerskab kommer formentlig som et minimum til at formulere en risikopolitik og kommunikere dens indhold offentligt eller forklare i sin årsberetning, hvorfor man har valgt ikke at gøre det. Men disse regler tager i højere grad sigte på at undgå risiko end på aktivt at vælge en risiko.

»Hvis reglerne for risikostyring bliver bindende, ville en beslutning som den, A.P. Møller traf om olieefterforskning, formentlig betyde, at han kunne have fået en fængselsstraf for det, hvis den kun var truffet ud fra hans intuitive fornemmelser uden omhyggelige forudgående risikovurderinger og den efterfølgende etablering af en intern risikostyringsproces«, siger Finn Kjær Jensen (citeret fra [9]).

Risikostyring er i teorien ensbetydende med en bevidst omgang med risiko, men ikke nødvendigvis angst for den risiko, som uundgåeligt er forbundet med initiativer, som fører virksomheden ind i ukendte områder.

Men det er i praksis det, det medfører, hævder den britiske forfatter og erhvervsjournalist Benjamin Hunt i bogen »The Timid Corporation«, som ifølge sin undertitel vil forklare »why business is terrified of taking risk« [10].

Virksomhederne er ikke alene frygtsomme, »timid«, men ligefrem rædselsslagne ved tanken om overhovedet at løbe nogen risiko. Og det er til skade for såvel virksomhederne som deres ejere, deres kunder og samfundsøkonomien.

Finn Kjær Jensen er opmærksom på denne risiko.
»Når virksomhederne går i gang med at identificere en række risici, kan det flytte den tidligere konstatering af, hvad der vil ske, til en opregning af, hvad der kan ske. Det kan skabe en ængstelig virksomhed, en frygtelig form for virksomhed gemt bag forsvarsværker og ansvarsfraskrivelser. Denne frygtstyring er en risiko, som må undgås gennem begavet risikostyring«, understreger Kjær Jensen. 

Risikostyring
Det første trin i det praktiske arbejde med offentlig risikostyring er en identificering af farer og risikofaktorer.

Risiko har forskellig karakter, afhængig af det miljø hvori de enkelte risici opstår i samspillet med organisationens aktiver og ansvar. Vurderingen må foregå efter to standardparametre:

hyppigheden og sandsynligheden på den ene side, alvoren og den virkning, det vil have, når det sker, på den anden. På den baggrund kan man bedømme og rangordne sine risici.

De syv miljøer, hvor risici opstår, er

  • Det fysiske miljø
  • Det sociale miljø
  • Det politiske miljø
  • Det økonomiske miljø
  • Det lovmæssige miljø
  • Det operationelle miljø
  • Det kognitive miljø.

I arbejdet med at kortlægge organisationens risikoprofil kan man benytte en række tilgængelige kilder fra tjeklister, analyser, dokumentation, konsulentbistand, borgermøder og så videre.

Det har traditionelt handlet mest om budgetlægning og den daglige drift. Men denne begrænsede tilgang er ikke længere tilstrækkelig. Det er nødvendigt, at risikostyringen bliver en del af den overordnede ledelsesproces. Den må inkorporeres i virksomhedskulturen.

Fra »Offentlig Risikostyring« [7]

»... at få den rigtige balance mellem -innovation og forandring på den ene side og at undgå chok og kriser på den anden« 

»Risikoen [er] på vej ind i fremtidens regler for Corporate Governance«

 

 

 

Referencer
1. Peter Young: Enterprise Risk Management. Indlæg ved konferencen Enterprise Risk Management, 26.4.2004.

2. COSO. Enterprise Risk Management Framework. Prepared for The Committee of Sponsoring Organizations of the Treadway Commission (COSO) 2004.

3. Per Henriksen: Strategisk Risikoledelse set i et dansk organisatorisk perspektiv - når vi skal indarbejde »rettidig omhu« til virksomhedsbehov. Projektbeskrivelse, CBS 2004.

4. Center for virksomhedsudvikling og ledelsesteknologi, CBS: Hjemmeside www.cvl.dk

5. Cabinet Office, Strategy Unit: Risk: Improving government's capability to handle risk and uncertainty. Strategy Unit Report, November 2002.

6. European Institute for Risk Management: Hjemmeside www.eirm.net. Her kan de fleste af de omtalte dokumenter findes.

7. Offentlig Risikostyring. Hovedtemaer fra konferencen »Risikostyring i den offentlige sektor i internationalt perspektiv«, refereret af Per Thygesen Poulsen. Center for Risikostyring 2002.

8. The Institute of Chartered Accountants in England and Wales: Internal Control. Guidance for directors on the Combined Code (The Turnbull Report september 1999).

9. Per Thygesen Poulsen: Ejerskab og lederskab. Børsens Forlag 2004.

10. Benjamin Hunt: »The Timid Corporation. Why business is terrified of taking risk«. John Wiley & Sons 2003. ISBN 0-470-84368-3.

Om forfatteren

Per Thygesen Poulsen er medlem af redaktionsrådet for Ledelse i Dag. Han er civiløkonom, erhvervsjournalist og forfatter til en række bøger om ledelse og organisationskultur, senest »Lederskab og ejerskab«, Forlaget Børsen, oktober 2004.