Hvordan kan virksomheter møte strategiske og operasjonelle risikoer i en tid preget av geopolitisk uro, teknologisk endring og økende krav til styring og kontroll?
Dette var temaet for det meget vellykkede heldagsseminaret «Risikodagen 2025» som IIA Norges nettverk for risikostyring arrangerte i samarbeid med Handelshøyskolen BI 5. november i tilknytning til studiet «Governance: Risikostyring, compliance og internrevisjon» som professor Flemming Ruud er ansvarlig for.
Gjennom en rekke godt forberedte og formidlede foredrag fikk studenter og andre interesserte i risikostyring et godt innblikk i hva som skaper en god og helhetlig risikostyring i en virksomhet samt hvordan man bør gå fram for å etablere og følge opp denne.
Nedenfor gir vi et overblikk over temaene som ble gjennomgått.
Hovedpunkter fra dagen:
Etter en kort introduksjon til dagen av professor Flemming Ruud overtok direktør Martin Stevens fra Gjensidige forsikring stafettpinnen som konferansier og holdt sammen med risikorådgiver Petter Kapstad et interessant foredrag om hva helhetlig risikostyring innebærer.
Usikkerhet og risiko har alltid vært knyttet til det å drive forretningsvirksomhet og å lede virksomheter – enten det er i privat eller i offentlig sektor.
Risiko kan sjelden helt unngås, men må håndteres på riktig måte. Risikostyring har ofte tradisjonelt hatt et nedsidefokus ved at man har først og fremst har fokusert på mulige tap i virksomheten slik den drives i dag framfor også å belyse risikoen for å gå glipp av mulige framtidige inntekter eller effektivitetsgevinster.
Forventningene fra eiere, tilsynsmyndigheter og andre interessenter stiller økonomiske, juridiske og regulatoriske krav til ledelsen og styret om å adressere, følge opp og håndtere ulike former for risiko ut fra et helhetlig perspektiv.
Risikostyring bør derfor stå sentralt i enhver virksomhet.
Helhetlig risikostyring (ERM) bygges på følgende tre grunnsteiner:
Risiko defineres nøytralt som «usikkerhet som kan ha en positiv eller negativ innvirkning på virksomhetens evne til å nå sine mål». Dette forutsetter at målene er riktig fastsatt, og at det er balanse mellom risiko og avkastning.
Aktuelle risikoer skal vurderes samlet for å forstå virksomhetens helhetlige risikobilde så godt at man utnytter potensialet for verdiskapning.
Risikostyringen skal innrettes mot å styrke grunnlaget for viktige beslutninger på alle nivåer av virksomheten, og på den måten gi grunnlag for økt verdiskapning.
Det er klare lovkrav til styrets og ledelsens ansvar for å ivareta en forsvarlig risikostyring i virksomheten og som ble godt belyst i risikorådgiver Esben Jansrud’s innlegg som også omfattet vurdering av compliance- og landrisiko.
Risikorådgiver Michael Kilic gjennomgikk hvordan operasjonell risiko kan styres på en forsvarlig måte. Operasjonell risiko er knyttet til mennesker, prosesser, teknologi og fysiske eiendeler og hvordan disse forvaltes. Dette handler om å håndtere både trusler og muligheter på en slik måte at man optimaliserer drift og måloppnåelse. Gjennom å etablere og følge opp en vel gjennomtenkt handlingsplan som evalueres og justeres så bidrar det til å sikre måloppnåelsen.
Senior Manager Stephanie Lemyre og fagdirektør Carl Jørgen Lie fra KPMG framhevde i sitt innlegg at en viktig del av det å drive god risikostyring handler om å etablere en god risikokultur i organisasjonen. Risikokulturen lever i hverdagen og ikke i styrende dokumenter alene. Derfor er det viktig at ledere setter tonen for hva som er ønskelig adferd og samtidig skaper trygghet blant de ansatte for å kunne stille spørsmål. For at en god risikokultur skal feste seg, må slike initiativ drives fra to retninger samtidig: «Top-down og Bottom-up».
Partner og leder GRC & Internrevisjon Ole Martin Kjørstad og manager samt leder Enterprise Risk Ida Marie Moen, begge fra BDO, ga en solid innføring i risikostyring som strategisk driver og hvordan man både må forstå virksomhetens verdidrivere og definere en risikoappetitt.
Risiko bør være del av strategiprosessen og overordnet risikobilde bør forankres og vedtas som ledd i strategiutformingen. Det må stilles krav til hvordan usikkerhet hensyntas og presenteres i vesentlige beslutningsprosesser. Risikoappetitt og –toleranse må operasjonaliseres gjennom policyer, beslutninger og internkontroll. Det er nødvendig å anvende et felles rammeverk for å kunne følge opp dette på en god måte.
Direktør Børre Petter Fylling fra Riksrevisjonen holdt et engasjerende innlegg om deres vurdering av risikostyring i helseforetakene. Han framhevet at risikostyring er et viktig virkemiddel for å nå helsepolitiske mål hjemlet i lov i form av tilgjengelighet med kortest mulig ventetid til pasientbehandling samt å identifisere områder der svikt kan oppstå og forebygge alvorlige eller uønskede følger for pasientene.
Riksrevisjonens konklusjon er at det dessverre er en manglende systematikk i måten risikostyringen gjennomføres på da mange av de innhentede risikovurderingene gir lite informasjon om begrensningene og påliteligheten til kunnskapsgrunnlaget. Videre gir helseforetakenes egne vurderinger et dårlig grunnlag for å vurdere om risikoen bør følges opp med tiltak. Det mangler derfor ofte dokumenterte planlagte tiltakfor å redusere uakseptabel risiko.
Blant de helseforetakene som har definert tiltak så er disse dessverre ofte lite konkrete og mangler informasjon om hvem som er ansvarlig. Det er sjelden satt en frist for gjennomføring. Dertil mangler det ofte dokumentasjon på hvorvidt tiltakene er gjennomført og har hatt effekt mangelfull.
Nedenfor deler vi lenker til IIA Norges veiledere for risikostyring samt til Handelshøyskolens studium innen GRC og internrevisjon.
Lenker:
Veileder for Risikofunksjonen (2025) – IIA
Operasjonell risikostyring – en innføring
Informasjon om studiet «Governance: Risikostyring, Compliance og Internrevisjon» ved Handelshøyskolen BI.
