Helhetlig risikostyring: Lyst på en sniktitt på fremtidens styringsverktøy?

Helhetlig risikostyring (Enterprise Risk Management) har blitt et buzzword blant norske virksomheter og har kommet for å bli. I dag er det få norske virksomheter som virkelig mestrer dette, ettersom det er utfordrende og komplekst. Vet du egentlig hva “helhetlig risikostyring” (ERM) er?

Det sikkerhetsfaglige miljøet oppfordrer virksomheter og institusjoner til å tenke risiko på en helhetlig måte. Virksomhetens ledelse må bevisstgjøres om alle typer risikoer og dette må få konsekvenser for hvordan ledelsen fatter beslutninger. Mange mener at helhetlig risikostyring (ERM) er fremtidens styringsverktøy. Dette blogginnlegget kommer til å se på hva egentlig “helhetlig risikostyring” (ERM) er og hvorfor det har vokst frem. 

Hva er egentlig helhetlig risikostyring (ERM)?

Helhetlig risikostyring (ERM) er ikke «ett» rammeverk eller system som en virksomhet raskt kan implementere. Helhetlig risikostyring (ERM) er en samlebetegnelse på ulike systemer, prosesser eller rammeverk som beskriver hvordan virksomheten skal håndtere risikoer relatert til de strategiske målsettingene i virksomheten.

COSO (Committee of Sponsoring Organisations of the Treadway Commission) hadde i 2004 en bred definisjon av helhetlig risikostyring (ERM) som en prosess som betegner hvordan risiko i en virksomhet skal styres. Således er det et strategisk verktøy for ledelsen slik at de kan på en mer helhetlig måte vurdere risikoakseptkriterier eller virksomhetens «risikoappetitt». Målet er at det skal gi rimelig sikkerhet for ledelsen, styret og sentrale interessenter for at forretningsmålene blir oppnådd. Helhetlig risikostyring (ERM) er fremtidsrettet og har som mål å identifisere risiko for mulige hendelser og faktorer som kan påvirke virksomheten. 

Det er viktig å presisere at en virksomhet er ikke én enhetlig entitet med én «risikoapetitt». Dette er viktig å være klar over når en implementerer et system for helhetlig risikostyring siden det kan føre til motsetninger mellom grupper og funksjoner i virksomheten. Det er heller ikke en «quick fix» eller en sjekkliste. Helhetlig risikostyring (ERM) er heller ikke noe som bare en avdeling skal arbeide med. I COSOs oppdaterte rammeverk fra 2017 så kom de med en helt ny definisjon av helhetlig risikostyring (ERM). Sammenlignet med den tidligere definisjonen som i større grad beskrev prosessen knyttet til helhetlig risikostyring, så fokuserer den nye definisjonen mer på de viktige elementene som inngår i denne prosessen. Nemlig virksomhetens kultur, koblingen til virksomhetens strategi samt bevaring av verdier og verdiskapning. Målet er at helhetlig risikostyring (ERM) skal gjennomsyre hele virksomheten og gå på tvers av funksjoner og skal involvere personell på alle nivåer i virksomheten. I det oppdaterte rammeverket blir helhetlig risikostyring (ERM) skissert som fremtidens styringsverktøy.

Hva er faktorene som har gjort at helhetlig risikostyring (ERM) har vokst frem?

I følge forskere på NHH (Kaarbøe et al. 2013) kan ERM forstås som «et svar på en større etterspørsel etter god risikostyring». Det er flere faktorer som har påvirket fremveksten av ERM. Man kan kort kategorisere faktorene som (i) hendelsesbaserte, (ii) et økt krav om regler og kontroller fra myndighetenes side og (iii) fordeler ved å etterleve et mer risikobasert regime (“what’s in it for us??”).

• Hendelsesbaserte faktorer: Enron-skandalen i 2001 og andre finansielle kriser som greide å påvirke og felle store selskaper er eksempler på hendelser som viste hvor viktig det var å styre og håndtere risikoer på en god måte. 
• Økt krav om regler og kontroller fra myndighetenes side: I etterkant av Enron-skandalen vedtok kongressen i USA en lov som omhandlet standarder for finansiell rapportering og internkontroller. Loven het Sarbanes-Oxley–loven (SOX) og innføringen av SOX medførte betydelige krav til intern kontroll med fokus på finansiell rapportering og ansvarliggjøring av ledelsen. «The Basel Accord» fra 1988 og BASEL II-direktivet har også fått stor betydning. Disse lovene og retningslinjene har bidratt til en ansvarliggjøring av enkeltpersoner som gjør at feiltrinn kan føre til bøter og i verste fall fengselsdommer. Økt krav om regler og kontroller fra myndighetenes side har således «tvunget» ulike virksomheter til å arbeide med risikostyring og dermed vært en pådriver i fremveksten og utviklingen av ERM.
• Fordeler ved å etterleve et mer risikobasert regime: Det er flere fordeler ved en mer effektiv risikostyring. Det handler om at virksomhetene blir mer fremoverlent, mer robuste og bedre til å takle kriser som kommer.

Helhetlig risikostyring (ERM) i endring

Tidligere var helhetlig risikostyring (ERM) sterkt preget av konsepter og normer knyttet til internkontroll og revisjon og regnskap. Nå har helhetlig risikostyring (ERM) gått til å bli mer fremtidsrettet. I følge forskerne fra NHH (Kaarbøe et al. 2013) var det finanskrisen som var med på å flytte fokuset i ERM fra en mer regelbasert og reaktiv modell til å inneha et mer kritisk perspektiv på ulike fremtidsscenarioer.

Den oppdaterte versjonen av COSO understreker utviklingen innen ERM og viktigheten av at virksomheter greier på en god måte å tilpasse seg et skiftende risikolandskap og kunne øke beslutningsevnen knyttet til tiltak for uønskede trusler, men også for potensiell gevinst.

Håpet er at helhetlig risikostyring (ERM) kan gjøre det mulig for virksomheter å bedre forutse ulike typer risikoer, slik at de kan være proaktive og arbeide forebyggende. Usikkerhet om hva som kan skje i fremtiden er uunngåelig, men tankemåten vår om hvordan man velger å håndtere ulike typer risikoer er avgjørende for hvordan man tilpasser seg et skiftende risikolandskap (COSO 2017).

For mer informasjon:

• COSO (2017). Enterprise Risk Management - Integrating with Strategy and Performance. Sist besøkt 22.08.2018. https://www.coso.org/Documents/2017-COSO-ERM-Integrating-with-Strategy-and-Performance-Executive-Summary.pdf
• Kaarbøe, K, Tynes Pedersen L. J, Andvik, C. E, Meidell, A (2013). Enterprise risk management i Magma. Sist besøkt 22.08.2018 https://www.magma.no/enterprise-risk-management2