Enhver virksomhet må påta seg og håndtere ulike former for risiko for å kunne nå sine mål.
Risikostyring tar for seg nettopp hvordan virksomheten posisjonerer seg og håndterer usikkerhet knyttet til fremtiden. Risiko assosieres ofte med konsekvensen av uønskede hendelser, men dekker både nedside og potensielle muligheter. Helhetlig risikostyring er sentral innen virksomhetsstyring.
Fokus på god helhetlig risikostyring gjelder for både private og offentlige virksomheter, så vel som ideelle organisasjoner, mindre og større virksomheter.
Helhetlig risikostyring innebærer bevisst risikotaking og –håndtering, på både strategisk og operasjonelt nivå. Det handler om å gjøre gode valg, som gjør virksomheten i stand til å realisere sine mål innenfor sin risikoappetitt og -toleranse. Dette gjøres ikke gjennom isolerte risikoanalyser, men gjennom effektiv styring og kontroll av hele virksomheten.
Strategi, internkontroll og compliance er prosesser som må ses på som integrerte deler av risikostyringen. Disse utgjør sentrale elementer innen virksomhetsstyring.
En god risikostyringsfunksjon må ha evnen til å sette informasjon og analyser inn i en kontekst, og forstå hvordan risikotakning og kontrollregimet påvirkes. Risikostyring er en beslutningstøtte som skal gjøre styret og ledelsen bedre i stand til å vurdere hvordan virksomheten kan nå sine mål mest mulig effektivt, med trygghet for at tilhørende risiko til enhver tid holdes på et ønsket nivå.
For å sikre riktig risikoeksponering må virksomheter etablere kontroller. Internkontroll assosieres ofte med å bli kontrollert, men begrepet omfatter det å ha tilstrekkelig styring og kontroll. Kontroller skal alltid knyttes opp mot risikoen for ikke å nå mål. Internkontroll er et verktøy for effektiv måloppnåelse og ikke et mål i seg selv.
IIA Norges Nettverk for Risikostyring har utviklet en Veileder for Risikostyringsfunksjonen. Denne er ikke bransjespesifikk, men peker på en rekke fellestrekk og vurderinger som bør legges til grunn for å ivareta ansvaret for risikostyring.