Risikostyring er en balanceakt

To danske forskere er nået frem til en opsigtsvækkende konklusion: Ud fra fire overordnede modeller til risikoledelse anvender danske virksomheder flest redskaber fra den model, der er mindst egnet til skandinaviske erhvervsforhold. Balancen er med andre ord skæv.

Modellens navn er COSO. Den fokuserer mest på at undgå tab. Ifølge forskerne betyder ensidigt fokus på minimering af tab, at ledelsen med sin strategi forsømmer at forfølge muligheder for gevinst.

Det er erhvervsforsker Per Henriksen og assisterende projektleder Thomas Uhlenfeldt fra Center for virksomhedsudvikling og ledelse på Copenhagen Business School, som har kortlagt danske virksomheders måde at imødegå trusler og risici.

De to forskere anbefaler danske virksomheder at skele mere til en australsk-new zealandsk model for risikostyring. Det er den model, som danske virksomheder vælger færrest strategiske elementer til risikostyring fra.

Af Per Thygesen Poulsen
E-mail: lid@lederne.dk

01. oktober 2006

Risikostyring er en disciplin i fremgang. Mange overvejer det, men er i tvivl om hvilke af de foreliggende muligheder, de skal vælge. Men nu er der vejledning at hente, for praktikere fra et hold erhvervsforskere ved Handelshøjskolen har set på fordele og ulemper ved de fire mest gængse rammeværker.

Der er to drivfjedre, som sætter danske virksomheder i gang med at systematisere deres håndtering af risiko.

  • Den ene er en situation, hvor virksomheden har befundet sig på randen af en større eller mindre katastrofe, og ledelsen spørger sig selv, om det kunne være undgået og hvordan. Det er modellen indefra og ud.
  • Den anden er knyttet til fusioneringsplaner, låntagning eller kapitaludvidelse. Her er det omverdenen, der efterlyser informationer om virksomhedens risici, og hvordan de overvåges. Det er modellen udefra og ind.

Ikke velegnet i Skandinavien
I begge tilfælde må virksomheden benytte sig af værktøjer. Men de færreste virksomheder kender de forhåndenværende muligheder, og det mest kendte ved navn COSO er mere egnet til angelsaksiske forhold end skandinaviske.

Det fremgår af de foreløbige erfaringer i et erhvervsforskningsprojekt ”Strategisk risikoledelse set i et dansk organisatorisk perspektiv”. Projektet hører under Center for virksomhedsudvikling og ledelse på Copenhagen Business School.

Fire rammeværker
Undersøgelserne viser, at der er overvægt på de administrative, kontrollerende metoder, risikostyring, snarere end de mere strategiske overvejelser, som forskerne foretrækker at kalde risikoledelse. Og de vægtes meget forskelligt i de mest udførligt beskrevne rammeværker, som det er relevant for danske virksomheder at kende.

Tabel 1: De fire rammeværker

Med rammeværk henviser forskerne til en ramme og struktur, der har til formål at understøtte en virksomheds risikostyringsaktiviteter, såvel som de vurderinger og beslutninger som træffes i denne forbindelse.

Ingen konsekvent brug
- Vi er i kontakt med ganske mange af de store virksomheder i Danmark. Og vores undersøgelser viser, at ingen benytter et af de eksisterende rammeværker fuldt ud, men plukker hvad, de mener, er relevant og former det efter deres eget behov, siger erhvervsforsker Per Henriksen, som sammen med assisterende projektleder Thomas Uhlenfeldt står for projektet med reference til professor Preben Melander, Center for virksomhedsudvikling og ledelse på Copenhagen Business School.

At plukke blandt det relevante er for så vidt en udmærket løsning. Det er ikke nødvendigvis et must at bruge et rammeværk, påpeger forskerne. Men et potentielt problem er, at man i realiteten ikke kender andre formelle rammeværker end COSO, som dels er meget engelsk/amerikansk orienteret, styret oppefra og ned, dels er mere indrettet på kontrol og rapportering end på vurdering af de positive muligheder såvel som negative risici i en usikker verden.

Ved siden af det veldokumenterede, men lidt formalistiske COSO, er der tre andre muligheder, som forskerholdet har analyseret, og som de mener, bør inddrages i overvejelserne, når virksomheder planlægger at sætte system i deres håndtering af risiko. Det er DeLoach, som er udviklet af en daværende partner i Arthur Andersen, FERMA, som er udviklet som en Risk Management Standard af Federation of European Risk Management Association, og den australsk-new zealandske Risk Management Standard. Alle fire modeller kan give en virksomhed et fælles sprog og et gennemprøvet system, hvis elementer i rækkefølge er:

  1. Mål og strategier
  2. Risikoidentifikation
  3. Risikovurdering
  4. Risikorespons
  5. Handlingsplaner 
  6. Kontrolaktiviteter

Svage punkter
Når forskerne skal vurdere og sammenligne de fire værktøjskasser, er der fire punkter, de især hefter sig ved. Og det er her, at alle modellerne har nogle større eller mindre svagheder, når man kommer ned under hensigtserklæringerne og ser på brugen i praksis.

Det svageste punkt er koblingen til virksomhedens strategi. De største risici er ofte knyttet til virksomhedens overordnede strategiske beslutninger. Her hersker en usikkerhed, som ofte kan koste dyrt, som når man beslutter sig for et marked med ukendte vilkår eller for partnerskaber med ukendte med- eller modparter.

Hertil kommer, at arbejdet ofte starter i de enkelte afdelinger, som har let ved at opregne og vurdere risiko. Men de mange enkelte projekter summes sjældent op i et overordnet system, hvor ledelsen kan afveje den mod hinanden og styre efter de totalt bedste løsninger.

Forsømmer muligheder
I realiteten er fokus på tabsundgåelse. Men at undgå tab kan være at forsømme muligheder. Og her er det kun det australsk-new zealandske rammeværk, som tilbyder gode værktøjer til hjælp.

Hertil kommer, at de meget angelsaksiske modeller er tænkt oppefra og nedefter, de inddrager kun i beskedent omfang medarbejderne og virksomhedskulturen. De er præget af hensynet til aktionærernes interesser og mangler at inddrage de øvrige interessenter, som vi i Skandinavien lægger stor vægt på. Resultatet af forskernes sammenligning fremgår af tabel 2.

- Man kan ikke generelt udnævne den rigtige model. Det må afhænge af den enkelte virksomhed, dens situation og det marked, den opererer på. Men hvis vi endelig skulle vælge med udgangspunkt i skandinaviske ledelseværdier, må vi anbefale virksomhederne at se nærmere på den australsk-new zealandske model, siger Per Henriksen og Thomas Uhlenfeldt.

Tabel 2: Sammenfatning på konceptuel sammenligning
Rammeværk  

Rating: 1. I høj grad; 2. Delvis; 3. Begrænset; 4. Ingen

Den oversete mulighed
Forskerne udtrykker deres mening i lidt forbeholdne vendinger. Men Ledelseidag.dk har for egen regning og risiko opsummeret deres enkelte vurderinger fra tabel 2 og udregnet et gennemsnit for hvert af de fire værktøjer.

Denne sammentælling giver DeLoach en total rating på gennemsnitligt 2,7, FERMA på 3,3, COSO på 3,6 og AS/NZS på 2,3. Altså en karakter på ”delvis egnet” på den oversete australsk-new zealandske model, ”begrænset” på DeLoach, ”meget begrænset ” på FERMA og ”næsten ingen” på COSO.

Nok svarer det statistisk til at sammentælle æbler og pærer. Men alligevel er det tankevækkende, at den mest anvendte model er den mindst anvendelige for en virksomhed med danske ledelsestraditioner, hvis man ønsker at inddrage de strategiske perspektiver med positive muligheder, med læreprocesser for alle og med hensyn ikke kun til aktionærerne, men alle virksomhedens interessenter.

Forskernes rapport har titlen ”Fire moderne helhedsorienterede risikostyringsrammeværker"

 

 
  • Per Henriksen er cand. lact., MBA og erhvervsforsker samt direktør for brancheforeningen DKT.
  • Thomas Uhlenfeldt er cand.comm. og ass. projektleder.
  • Begge er tilknyttet Center for Virksomhedsudvikling og Ledelse på Copenhagen Business School.
  • Læs mere om forskernes arbejde med risikostyring i tidsskriftet Økonomistyring & Informatik (21. årgang, nr. 5, april 2006).