Vink med en vognstang eller et wake-up call?

Af Kersi F. Porbunderwalla GRC konsulent. www.eurosox.dk Flere rapporter sammenstemmende viser at virksomheder kan opnå væsentlige kursgevinster ved at følge internationale Governance, Risikostyring og Compliance (GRC) regler, rammeværker og best practices. Kredit- og finanskrisen som egentlig begyndt for knap et år siden, burde snart være på vej ind i en afgørende fase. De virksomheder som betragter situation som ’Business as Usual’ har lange udsigter til at få overstået krisen indenfor den nærmeste tid. Derfor skal virksomhederne begynde at overveje, de specielle forhold der har bragt hele verdens finansielle sektor i knæ. Et svar kunne findes netop i samspillet mellem god selskabsledelse, forståelse af og arbejdet med risikovurderinger samt overholdelse af kvalitets- og compliance standarder for at skabe varige værdier. Området hedder Governance, Risk og Compliance eller GRC i daglig tale. GRC er endnu mere aktuelt i Danmark end det nogen sinde har været. Det er snart mange år siden, at virksomhederne erfarede vigtigheden af at varetage ikke alene samfundets men også medarbejder, samarbejdspartnere og investorens interesse for at opretholde deres tillid. Det er muligt at denne lærdom ser ud til at være forduftet sammen med de voksende og konstant værdistigning og aktiekurser. Nu er fokus i stedet rettet på ’damage control’ God selskabsledelse Good Governance eller god selskabsledelse handler også om at forstå og samarbejde med sine stakeholdere og fokusere på (nu at genvinde) tilliden hos investorerne. God selskabsledelse kan betale sig fordi det i bund og grund er gennem tillid fra sine stakeholdere og interessenter, at virksomheden skal sikre overlevelse. Ligesom i andre forhold skal tillid opbygges, med mulighed for at kunne kontrollere at der er god grund til at have denne tillid. I GRC sproget lades det dokumentation eller ’evidence’. Hvis Governance eller god selskabsledelse ikke er på plads, lad være at læse videre. Risikostyring og Compliance aktiviteter i virksomhederne bliver irrelevant og giver ikke mening. Risikostyring Systematisk arbejde Risk Management kan nedbringe risikoen for interne og eksterne begivenheder tager overhånd og forhindre virksomheden i at nå sine strategiske og operationelle mål. Risk Management består i at identificere og fjerne uønskede risici bedst muligt, så virksomheden kan tjene på de risici, den er bedst til at styre. Her igen risikostyrings kontroller skal dokumenteres og testes for at kunne bevise at de reducere risici. IT-Compliance Tilsvarende IT risici, IT sikkerhedshuller og øget IT kompleksitet hænger sammen. Virksomhedsdrift beror stadig mere på informationsteknologien, og samtidig vokser antallet af mulige sikkerhedshuller som følge af at kompleksiteten i it-systemerne. IT-sikkerhed skal op på et strategisk niveau ellers ofte glemmes IT-sikkerhedsaspektet når IT-kompleksiteten stiger. Vejen ud af krisen Arbejdet med GRC er vejen ud af den nuværende krise. Det tager tid og kræver en strategisk indsats. Arbejde med GRC vil også opfylde de nye krav om at fremlægge oplysninger om koncernens risikostyringssystem og interne kontrolsystem i årsregnskaberne. Dette medfører en skærpet oplysningspligt, fra ledelsens side (eller revisorerne) og ledelsens udtalelse om "det retvisende billede" i årsregnskabet. Udenlandske investorer fylder mere og mere på aktiemarkedet herhjemme, både når det gælder ejerskab og handelsaktivitet. Danske børsnoterede selskaber kan med fordel ’frivilligt’ søge international Governance, Risk og Compliance certificering og undgå endnu en rutchetur på fondsbørsen, men muligvis også genetablere fordumstidernes aktiekurser.