Mye er skrevet om risikorammeverk og risikostyringsprinsipper de senere år. I takt med økt fokus på helhetlig risikostyring tilbys også flere og flere systemløsninger som favner governance, risiko og compliance – såkalte GRC-system.
Salgsargumentet kan man forenklet sagt hevde er som følger; Kjøper virksomheten et GRC-system så vil mange brikker falle naturlig på plass. Virksomheter vil kunne oppnå risikostyring i verdensklassen.
Kall meg gjerne en skeptiker, men jeg tror god risikostyring gjelder like mye holdning og forståelse hos de som skal anvende den, som det å ha godt dokumentert risikoer og tiltak.
Trenden innen risikostyringsfaget er å se helhetlig risikostyring i tett samband med strategiarbeid og målstyring jfr.rammeverk om helhetlig risikostyring utgitt av COSO i 2017. (Sammendraget er også utgitt av IIA Norge i norsk språkdrakt).
I 2018-utgaven av Veileder for Risikostyringsfunksjonen er ‘risikostyring’ beskrevet som følger;
«Begrepet risiko har gjerne blitt utelukkende assosiert med uønskede hendelser, og risikostyring blitt definert som å analysere og begrense sannsynligheten for og konsekvensen av uønskede hendelser. Dette er kun én dimensjon av det totale bildet. Det å vurdere muligheter er en like viktig komponent i helhetlig risikostyring, som det å vurdere nedsiden, da det nettopp handler om en helhet og det å evaluere risikostrategi i en portefølje av risikoer.»
Dette er i tråd med risikostyringsstandarden ISO-31000. Denne definerer risiko som virkning av usikkerhet knyttet til mål. Videre utdypes at ‘virkning’ er et avvik fra det forventede. En virkning kan være positiv, negative eller begge deler og kan ta for seg, skape eller resultere i muligheter og trusler.
Strategiske beslutninger foretas på styrenivå. Så hva da med helhetlig risikostyring fra et styreperspektiv?
Nylig ble jeg oppmerksom på forskning på området fra Storbritannia. Rapporten «Risk and the strategic role of leadership» ble utgitt i 2018 av ACCA global. Rapporten er basert på innspill fra 30 dybdeintervjuer med toppledere og styremedlemmer i en rekke ulike bransjer. Det kan innvendes at det ikke er et statistisk representativt utvalg. Denne svakheten oppveies dog i stor grad av dybden i diskusjonene vil jeg påstå. Min egen erfaring fra diskusjoner med fagpersoner er at de opplever mange av de samme utfordringene. Denne undersøkelsen gir et analytisk perspektiv som er verdifullt.
Undersøkelsen illustrerer blant annet to tilnærminger – eller motpoler – til helhetlig risikostyring. Den ene polen er regelbasert (prescriptive) og motpolen prinsippbasert (principled).
- Det som kjennetegner den regelbaserte tilnærmingsmåten er at den tar utgangspunkt i et compliancebasert syn, ser innover, måler eksponering i forhold til risikoappetitt, kommuniserer basert på «gjør som jeg sier», rettledes gjennom bottom-up rapportering der risiko er formelt på saksagendaen. Denne tilnærmingen er analytisk og strukturert.
- Den prinsippbaserte tilnærmingen tar derimot utgangspunkt i et helhetlig syn, ser utover, vurderer opp mot magefølelsen, kommunisere basert på «gjør som jeg gjør», integrerer risikostyring i en større diskusjon der risiko sannsynligvis ikke er en egen formell post på agendaen. Denne tilnærmingen er mer spontan og kreativ.
Rapporten beskriver fordeler og ulemper ved begge tilnærminger. Kan være det ideelle vil være for en virksomhet å etterstrebe en gyllen middelvei – mellom polene? På den ene siden sikre fokus på god struktur og på den andre siden øke kreativiteten inn i beslutningsprosessene.
IIA Norge har utgitt heftet «Spørsmål et styre bør stille for å forstå hvordan en virksomhet styrer sine risikoer». Også rapporten fra Storbritannia inkluderer nyttige verktøy. Den dekker 10 spørsmål et styre bør stille seg selv for å forstå bedre hvordan styrets egne medlemmer utøver sitt ansvar for risikostyring. Utviklingen går i retning av mer fokus på å supplere det intuitive med gode analyser og innsikt. Dette vil være den viktigste funksjonen for helhetlig risikostyring kan bidra med.
Jeg liker uttrykket «kritiske venner» som kjennetegn for styremedlemmenes rolle i å utfordre og stille kritiske spørsmål. Det er kanskje noe mer sympatisk enn å være djevelens advokat, men dekker noe av det samme. Ta ikke for gitt at alt går etter planen, selv om planen fremstår som aldri så solid. Sørg for å spore både til kritiske spørsmål og kreativitet inn i beslutningsprosesser; «Hva hvis….?»