Risikoidentifikation er blevet et must for bestyrelsen

authorimage
BLOGS
Af: Caspar Rose
26. feb 2013

Effektiv risikostyring og intern kontrol medvirker til at reducere virksomhedens strategiske og forretningsmæssige risici, hvad enten virksomheden er børsnoteret eller ejerledet. Virksomheder må nødvendigvis påtage sig forskellige driftsmæssige og strategiske risici, men ledelsen bliver nød til at håndtere dem på en systematisk måde, så risikostyringen kan understøtte ledelsens beslutninger. I kravene til bestyrelsen i selskabsloven § 115 kræves direkte, at bestyrelsen skal forholde sig til virksomhedens risikostyring.

Ledelsens erstatningsansvar skal ses i lyset af lovgivningens krav til ledelsens opgaver. Dette indebærer i værste fald, at en uagtsom undladelse fra ledelsens side, hvor man har overset en betydelig tabsgivende risiko, kan medfører erstatningsansvar for bestyrelse og direktion. Effektiv risikostyring er således både lovgivningsbestemt, men ligeledes forretningsmæssigt begrundet i at sikre virksomhedens økonomiske værdi.

Manglende identifikation af forretningsmæssige nøglerisici, hvad enten det drejer som om finansielle eller ikke-finansielle risici, kan i alvorlige tilfælde helt underminere virksomhedens økonomiske fremtid. Identifikation er hele fundamentet for en effektiv risikostyring, hvilket ofte giver sig udslag i udarbejdelsen af en prioriteret liste med de allervigtigste risici. Større og mere komplekse virksomheder er mere eksponeret, men selv mindre og mellemstore virksomheder er også sårbare.

I praksis bør direktionen komme med et oplæg, der omfatter en kort og præcis beskrivelse af de vigtigste forretningsmæssige risici, som bestyrelsen bør drøfte og sige god for. Listen skal årligt ajourføres og alle risikotiltag fra virksomhedens side, bør afspejle sig i prioriteringen af de pågældende risici dvs. prioritetsordenen ændres over tid og nogle risici dropper helt ud af listen, mens nye kommer til dvs. arbejder med risikoidentifikation er dynamisk.

I den forbindelse er der stor forskel på, hvordan man håndterer finansielle og ikke-finansielle risici. I finansielle virksomheder betegnes de ikke-finansielle risici som operationelle risici, som der skal afsættes kapital til imødegåelse af (sammen med kredit og markedsrisici). Moderne virksomheder er utrolig sårbare over for IT nedbrud/systemsvigt, tab af nøglemedarbejdere, brud på konkurrencereglerne, anklager om bestikkelse, bedrageri/underslæb etc. som kan ramme alle virksomheder uanset størrelse og branche. De finansielle risici f.eks. valuta, rente, råvare risici er nemmere at afdække med finansielle instrumenter og optræder oftere i forbindelse med selve driften.

Ikke finansielle risici indtræffer sjældent, men når de til gengæld indtræffer, er virkningen stor. De seneste års svindelsager i Danmark og udlandet har vist, at sådanne hændelser kan lægge en virksomhed ned og at en blankt revisionspåtegning fra revisorernes side, ikke er en tilstrækkelig sikkerhed for at undgå store tab i svindelsager. Desuden er der stor medieopmærksomhed, når offentligheden får kendskab sådanne sager, hvad enten det drejer sig om alvorlige IT nedbrud med store konsekvenser for virksomhedens kunder, eller hvis en salgsmedarbejder i virksomheden bruger bestikkelse i udlandet for at fremme salget.

Nogle af disse risici kan ikke elimineres, om end forsikring kan reducere tabet når uheldet er ude. De tiltag som indgår i risikopolitikken, har enten som formål at reducere sandsynligheden for at uheldet indtræffer eller begrænse tabet når der sker. Det er helt centralt, at virksomhedens risikoejere er blevet identificeret, da de ofte er de bedste til at vurdere disse forhold og kender de pågældende risicis natur.

Risikoidentifikation er således grundstenen i opbygningen af et effektivt risikoberedskab i virksomheden. Det er helt afgørende, at bestyrelsen ikke betragter risikoidentifikation, som noget der bare skal overstås. Man må huske på, at det er lige så vigtigt at bevare eksisterende værdier, som at forsøge at skabe yderligere værdi. Bestyrelsen bør derfor betragte risikostyring som et proaktiv værktøj, frem for en kedeligt ”tick the box” øvelse, hvis virksomhedens værdiskabelse skal sikres på den lange bane.

Profil
Caspar Rose authorimage Caspar Rose er professor på CBS, Institut for International Økonomi og Ledelse. Hans forskningsområder er veldokumenteret i adskillige internationale tidsskrifter og omfatter både selskabsledelse (corporate governance) samt de finansielle markeder og virksomheder. Desuden rådgiver Caspar Rose virksomheder og organisationer inden for områderne: Bestyrelsesledelse, strategisk risikostyring og investeringsstrategi. Caspar Rose underviser bl.a. på CBS executive bestyrelsesuddannelsen, men afholder desuden egne skræddersyede bestyrelseskurser på privat free lance basis.

Caspar Rose har dels en baggrund som jurist (cand.jur.) og økonom (cand.merc. og Ph.D. i finansiering). Caspar Rose har desuden en betydelig praktisk erfaring bl.a. som juridisk konsulent i Dansk Industri samt chefanalytiker i Danske Bank, hvor han har arbejdet med risikostyring.


Twitter

Tidligere bloggere på borsen.dk